مهاجمان سه آسیب‌پذیری بحرانی FortiSandbox را هدف قرار داده‌اند

شرکت امنیتی دفیوزد (Defused) اعلام کرده که مهاجمان سایبری چند آسیب‌پذیری بحرانی را در پلتفرم FortiSandbox شرکت فورتی‌نت (Fortinet) هدف قرار داده‌اند. این حملات به مهاجمان اجازه می‌دهند بدون احراز هویت، سطح دسترسی خود را افزایش دهند و کدهای مخرب را از راه دور اجرا کنند.

محققان امنیتی گزارش داده‌اند که مهاجمان در ۲۴ ساعت گذشته از سه آسیب‌پذیری بحرانی با شناسه‌های CVE-2026-39813، CVE-2026-39808 و CVE-2026-25089 سوءاستفاده کرده‌اند. فورتی‌نت در ۱۴ آوریل ۲۰۲۶ وصله‌های امنیتی این آسیب‌پذیری‌ها را منتشر کرده بود.

اجرای کد از راه دور بدون نیاز به تعامل کاربر

این آسیب‌پذیری‌های FortiSandbox از نوع تزریق فرمان (Command Injection) هستند. مهاجمان می‌توانند با پیچیدگی پایین و بدون نیاز به تعامل کاربر، دستورات دلخواه خود را روی سامانه هدف اجرا کنند.

در صورت موفقیت حمله، مهاجم کنترل بخش‌های مهمی از زیرساخت امنیتی سازمان را در اختیار می‌گیرد. چنین دسترسی‌ای می‌تواند خطر نفوذ گسترده، سرقت داده و اختلال در خدمات را افزایش دهد.

دفیوزد اعلام کرده که مهاجمان برای نخستین بار از آسیب‌پذیری CVE-2026-39813 بهره‌برداری کرده‌اند. این شرکت همچنین تلاش‌هایی را برای سوءاستفاده از CVE-2026-25089 شناسایی کرده. با این حال، محققان معتقدند نمونه‌های فعلی اکسپلویت دارای نقص فنی هستند. آن‌ها تأکید کردند که هنوز هیچ اکسپلویت عمومی و قابل اعتمادی برای این آسیب‌پذیری منتشر نشده است.

راهبران باید فوراً سامانه‌های خود را به‌روزرسانی کنند

ارتقای نسخه‌های آسیب‌پذیر FortiSandbox توصیه اکید شده است. نصب آخرین وصله‌های امنیتی می‌تواند مسیر حملات جاری را مسدود کند.

سازمان‌هایی که به‌روزرسانی‌ها را به تعویق بیندازند، با خطر اجرای کد از راه دور (RCE)، نفوذ به شبکه و سرقت اطلاعات مواجه خواهند شد.

سابقه حملات باج‌افزاری علیه محصولات فورتی‌نت

مهاجمان در سال‌های اخیر بارها محصولات فورتی‌نت را هدف قرار داده‌اند. گروه‌های باج‌افزاری و عوامل جاسوسی سایبری از برخی آسیب‌پذیری‌های این شرکت برای نفوذ اولیه به شبکه‌های سازمانی استفاده کرده‌اند.

فورتی‌نت اخیراً آسیب‌پذیری بحرانی دیگری با شناسه CVE-2026-26083 را در FortiSandbox برطرف کرد. این نقص امنیتی نیز امکان اجرای کد از راه دور را فراهم می‌کرد.

این شرکت در ماه فوریه همچنین آسیب‌پذیری SQL Injection با شناسه CVE-2026-21643 را در پلتفرم FortiClient Enterprise Management Server (EMS) اصلاح کرد. یک ماه بعد، دفیوزد اعلام کرد که مهاجمان به‌صورت فعال از این آسیب‌پذیری سوءاستفاده می‌کنند.

پس از انتشار این گزارش، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) به سازمان‌های فدرال دستور داد ظرف سه روز سامانه‌های خود را در برابر این تهدید ایمن‌سازی کنند.

نگرانی‌ها درباره امنیت محصولات فورتی‌نت افزایش یافته است

آمارهای CISA نشان می‌دهد که مهاجمان تاکنون از ۲۶ آسیب‌پذیری مختلف در محصولات فورتی‌نت سوءاستفاده کرده‌اند. گروه‌های باج‌افزاری ۱۳ مورد از این آسیب‌پذیری‌ها را در حملات خود به کار گرفته‌اند.

توصیه می‌شود سازمان‌ها علاوه بر نصب وصله‌های امنیتی، لاگ‌های سامانه را نیز بررسی کنند. راهبران باید نشانه‌های نفوذ احتمالی را شناسایی کنند و فرآیند پایش تهدیدات را تقویت کنند. انجام این اقدامات می‌تواند خطر حملات آینده را کاهش دهد.