2026-07-17

Luka w FortiSandbox – pilna reakcja po atakach | BOIT

48 godzin od odkrycia exploitów — pierwsze ataki na FortiSandbox są już w toku. Jeśli zarządzasz tym produktem, Twoje serwery mogą być obecnie zagrożone przejęciem kontroli bez ostrzeżenia. Luka w FortiSandbox pozwala atakującym na wykonanie zdalnego kodu w systemie, a czas na reakcję kurczy się w zastraszającym tempie.

Ta krytyczna podatność jest wykorzystywana aktywnie, co zwiększa ryzyko poważnych incydentów bezpieczeństwa. Brak aktualizacji oznacza możliwe wycieki danych i utratę ciągłości działania. Natychmiastowe wdrożenie dostępnych poprawek to jedyna skuteczna obrona przed tym zagrożeniem.

Co to za podatność i jak działa

Luka w FortiSandbox to krytyczna wada umożliwiająca zdalne wykonanie kodu (RCE). Atakujący musi nawiązać połączenie z podatnym serwerem FortiSandbox, wysyłając specjalnie spreparowane żądanie. W efekcie uzyskuje zdalny dostęp na poziomie systemowym, co pozwala na przejęcie kontroli nad urządzeniem, instalację złośliwego oprogramowania lub eskalację uprawnień.

Współczynnik CVSS tej podatności wynosi 9.8, co klasyfikuje ją jako niezwykle niebezpieczną. Exploit może być przeprowadzony bez jakiejkolwiek autoryzacji, co oznacza, że każdy, kto zna IP podatnego systemu, może zaatakować go zdalnie i natychmiastowo.

Które systemy i wersje są podatne

Podatne są wszystkie wersje FortiSandbox przed wydaniem oficjalnej aktualizacji od Fortinetu. Możesz sprawdzić swoją wersję w panelu administracyjnym FortiSandbox, w zakładce „System” → „Informacje o systemie” (komenda show version w CLI). Jeśli wersja oprogramowania jest niższa niż ta wskazana w ogłoszeniu bezpieczeństwa Fortinet, powinieneś traktować system jako podatny.

W praktyce sprawdzanie i porównywanie wersji pod kątem podatności można zacząć od najnowszych informacji na Fortinet PSIRT. To najpewniejsze źródło dla wykazu poprawek.

Czy ktoś już to wykorzystuje — aktywna eksploatacja

Tak, exploit jest już publicznie znany i używany w atakach w dzikim środowisku. Raporty CISA potwierdzają, że kampanie ataków wykorzystują tę lukę do przejmowania serwerów. Zidentyfikowano podejrzane połączenia oraz nieautoryzowane procesy na zaatakowanych urządzeniach.

W atakach wykorzystuje się typowe wskaźniki kompromitacji — niespodziewane logowania, nagłe uruchomienia nowych procesów oraz podejrzany ruch sieciowy na portach FortiSandbox. Z tego powodu natychmiastowa kontrola logów i analiza ruchu jest konieczna.

Jak się zabezpieczyć — krok po kroku

1. Pobierz najnowszą wersję FortiSandbox z oficjalnej strony Fortinet lub za pomocą aktualizatora systemu.

2. Zaloguj się do CLI i sprawdź wersję na urządzeniu komendą show version.

3. Przeprowadź aktualizację oprogramowania do wersji pozbawionej luki.

4. Po aktualizacji zrestartuj serwis FortiSandbox lub cały system.

5. Zweryfikuj poprawne zastosowanie patcha, porównując numer wersji.

Jeśli nie możesz zaktualizować natychmiast, odetnij zdalny dostęp do FortiSandbox, stosując reguły firewall ograniczające adresy IP.

Więcej praktycznych porad znajdziesz w bazie artykułów BOIT oraz aktualizacjach w aktualnościach cyberbezpieczeństwa.

Co się stanie jeśli nie zareagujesz

Brak reakcji oznacza ryzyko przejęcia systemu zarządzającego ochroną sieci. Atakujący może zainstalować ransomware, ukraść dane lub naruszyć integralność infrastruktury. Firmy mogą ponieść straty finansowe, przerwy w działaniu z powodu incydentu lub kary RODO za niewłaściwe zabezpieczenie danych osobowych.

Realny scenariusz: atak po cichu instaluje backdoor na FortiSandbox, a następnie ewoluuje do całkowitego przejęcia sieci. Administrator często dowiaduje się o tym dopiero po dużym wycieku.

Rekomendacje dla firm i administratorów

Przede wszystkim wdroż szybkie aktualizacje. Równocześnie monitoruj logi i ruch sieciowy pod kątem nietypowych zachowań. Dodatkowo wdroż politykę ograniczania dostępu do interfejsów FortiSandbox zaufanym adresom IP.

Firmom MSP polecamy przygotowanie procedur szybkiego rolloutu patchy u klientów. BOIT oferuje wsparcie techniczne oraz szkolenia w zakresie monitoringu i reagowania na incydenty, które usprawnią Twoją reakcję na podobne zagrożenia.

Źródła

Bartłomiej Ożóg
Bartłomiej Ożóg