Fortinet刚刚修复了两个评分9.1的致命漏洞,攻击者无需任何凭证就能远程执行系统命令。更麻烦的是,漏洞细节和扫描工具都已公开——留给企业的时间窗口正在收窄。
漏洞拆解:两条攻击路径
第一个漏洞编号CVE-2026-39808,属于操作系统命令注入。攻击者通过构造特定的HTTP请求,就能在FortiSandbox沙箱设备上执行任意代码。
受影响版本覆盖4.4.0到4.4.8全线。Fortinet官方修复版本是4.4.9及以上。
第二个漏洞CVE-2026-39813由Fortinet安全分析师Loic Pantano发现,是路径遍历问题。它藏在JRPC(Java远程过程调用)接口里,同样通过HTTP请求触发,效果是绕过身份认证直接拿到系统权限。
这个漏洞波及面更广:4.4.x和5.0.x两个分支都中招,分别需要升级到4.4.9+或5.0.6+才能修复。
正方观点:Fortinet响应够快,风险可控
从披露节奏看,Fortinet确实没拖泥带水。漏洞修复公告与扫描工具公开几乎同步,给了企业明确的行动清单。
目前官方确认"尚无活跃利用报告"(no reports of active exploitation),这在漏洞公开初期是难得的安全缓冲期。对于部署了漏洞管理流程的企业,72小时内完成资产盘点和补丁测试并非不可能。
FortiSandbox作为沙箱产品,本身处于网络架构的特定位置——主要用于文件行为分析,并非直接暴露在互联网边界。这意味着攻击者需要先突破前置防线,才能触及漏洞利用面。
反方观点:攻击者最爱Fortinet,公开即倒计时
但"尚未利用"不等于"不会利用"。原文明确警告:考虑到漏洞现已公开、无需认证即可利用,且"攻击者确实喜欢滥用Fortinet产品"(attackers do love abusing Fortinet products),形势可能迅速恶化。
这种判断有历史依据。就在一周前,Fortinet刚发布CVE-2026-35616的紧急补丁——这是FortiClient企业管理系统的高危漏洞,美国网络安全与基础设施安全局(CISA)已确认其自3月31日起就处于被攻击状态,并在4月6日将之列入了已知被利用漏洞目录(KEV Catalog),要求联邦机构4天内必须修复。
连续两周出现9分以上的认证绕过漏洞,Fortinet产品的攻击面密度正在引发连锁反应。安全研究员Rishi已发布针对这两个新漏洞的公开扫描器,这意味着攻击者获取利用能力的技术门槛已被抹平。
我的判断:沙箱产品的信任危机才刚开始
这场漏洞风波的真正冲击,不在于单个补丁的紧迫性,而在于它动摇了沙箱类产品的核心卖点。
企业部署FortiSandbox,本质上是购买"隔离"与"可控"——让可疑文件在封闭环境中运行,即使触发恶意行为也不会波及生产系统。但命令注入和认证绕过漏洞的存在,意味着沙箱本身可能成为横向移动的跳板。攻击者一旦突破,获得的往往是高权限而非受限环境。
更深层的问题是产品架构的复杂性代价。FortiSandbox同时维护4.4.x和5.0.x两个分支,版本碎片化导致补丁覆盖需要企业自行核对分支归属。而JRPC这类内部API接口暴露路径遍历问题,反映出代码审计在边界场景下的盲区。
对于25-40岁的安全从业者,这件事的实操启示很具体:如果你的资产清单里有FortiSandbox,立即用Rishi的扫描器做一遍排查;如果还在评估沙箱产品,需要把"供应商漏洞响应速度"和"版本分支维护策略"纳入采购评分表——连续高危漏洞的出现不是偶然,而是技术债累积的征兆。
Fortinet在2024年Q4的财报中披露,其安全服务收入同比增长21%,企业级客户续约率维持在95%以上。但产品安全性的信任损耗,往往滞后于财务数据显现。当CISA的KEV目录开始密集收录同一厂商的漏洞,采购决策中的风险评估权重正在悄然转移。
热门跟贴