شرکت امنیتی دفیوزد (Defused) اعلام کرده که مهاجمان سایبری چند آسیبپذیری بحرانی را در پلتفرم FortiSandbox شرکت فورتینت (Fortinet) هدف قرار دادهاند. این حملات به مهاجمان اجازه میدهند بدون احراز هویت، سطح دسترسی خود را افزایش دهند و کدهای مخرب را از راه دور اجرا کنند.
محققان امنیتی گزارش دادهاند که مهاجمان در ۲۴ ساعت گذشته از سه آسیبپذیری بحرانی با شناسههای CVE-2026-39813، CVE-2026-39808 و CVE-2026-25089 سوءاستفاده کردهاند. فورتینت در ۱۴ آوریل ۲۰۲۶ وصلههای امنیتی این آسیبپذیریها را منتشر کرده بود.
اجرای کد از راه دور بدون نیاز به تعامل کاربر
این آسیبپذیریهای FortiSandbox از نوع تزریق فرمان (Command Injection) هستند. مهاجمان میتوانند با پیچیدگی پایین و بدون نیاز به تعامل کاربر، دستورات دلخواه خود را روی سامانه هدف اجرا کنند.
در صورت موفقیت حمله، مهاجم کنترل بخشهای مهمی از زیرساخت امنیتی سازمان را در اختیار میگیرد. چنین دسترسیای میتواند خطر نفوذ گسترده، سرقت داده و اختلال در خدمات را افزایش دهد.
دفیوزد اعلام کرده که مهاجمان برای نخستین بار از آسیبپذیری CVE-2026-39813 بهرهبرداری کردهاند. این شرکت همچنین تلاشهایی را برای سوءاستفاده از CVE-2026-25089 شناسایی کرده. با این حال، محققان معتقدند نمونههای فعلی اکسپلویت دارای نقص فنی هستند. آنها تأکید کردند که هنوز هیچ اکسپلویت عمومی و قابل اعتمادی برای این آسیبپذیری منتشر نشده است.
راهبران باید فوراً سامانههای خود را بهروزرسانی کنند
ارتقای نسخههای آسیبپذیر FortiSandbox توصیه اکید شده است. نصب آخرین وصلههای امنیتی میتواند مسیر حملات جاری را مسدود کند.
سازمانهایی که بهروزرسانیها را به تعویق بیندازند، با خطر اجرای کد از راه دور (RCE)، نفوذ به شبکه و سرقت اطلاعات مواجه خواهند شد.
سابقه حملات باجافزاری علیه محصولات فورتینت
مهاجمان در سالهای اخیر بارها محصولات فورتینت را هدف قرار دادهاند. گروههای باجافزاری و عوامل جاسوسی سایبری از برخی آسیبپذیریهای این شرکت برای نفوذ اولیه به شبکههای سازمانی استفاده کردهاند.
فورتینت اخیراً آسیبپذیری بحرانی دیگری با شناسه CVE-2026-26083 را در FortiSandbox برطرف کرد. این نقص امنیتی نیز امکان اجرای کد از راه دور را فراهم میکرد.
این شرکت در ماه فوریه همچنین آسیبپذیری SQL Injection با شناسه CVE-2026-21643 را در پلتفرم FortiClient Enterprise Management Server (EMS) اصلاح کرد. یک ماه بعد، دفیوزد اعلام کرد که مهاجمان بهصورت فعال از این آسیبپذیری سوءاستفاده میکنند.
پس از انتشار این گزارش، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) به سازمانهای فدرال دستور داد ظرف سه روز سامانههای خود را در برابر این تهدید ایمنسازی کنند.
نگرانیها درباره امنیت محصولات فورتینت افزایش یافته است
آمارهای CISA نشان میدهد که مهاجمان تاکنون از ۲۶ آسیبپذیری مختلف در محصولات فورتینت سوءاستفاده کردهاند. گروههای باجافزاری ۱۳ مورد از این آسیبپذیریها را در حملات خود به کار گرفتهاند.
توصیه میشود سازمانها علاوه بر نصب وصلههای امنیتی، لاگهای سامانه را نیز بررسی کنند. راهبران باید نشانههای نفوذ احتمالی را شناسایی کنند و فرآیند پایش تهدیدات را تقویت کنند. انجام این اقدامات میتواند خطر حملات آینده را کاهش دهد.