Resumo: A CISA adicionou nesta quinta-feira ao catálogo Known Exploited Vulnerabilities (KEV) duas falhas críticas no FortiSandbox — CVE-2026-39808 e CVE-2026-25089 — ambas com CVSS 9.1 e exploração ativa em curso. As agências federais dos EUA têm até 19 de julho para aplicar as correções, e o alerta reforça a exposição de instalações on-premises, Cloud e PaaS do FortiSandbox nas versões 4.2, 4.4 e 5.0.
A CISA (Cybersecurity and Infrastructure Security Agency), a agência de cibersegurança do governo dos EUA, incluiu no dia 16 de julho duas vulnerabilidades no FortiSandbox — solução da Fortinet para análise e detecção de malware — em seu catálogo KEV. A inclusão nesse catálogo significa, na prática, que há evidência de exploração observada em ambientes reais, e a Binding Operational Directive 22-01 obriga agências federais dos EUA a corrigirem o problema em prazo curto. Neste caso, o prazo é 19 de julho de 2026.
Ambas as vulnerabilidades são de injeção de comandos no sistema operacional (OS command injection) e podem levar à execução remota de código. O detalhe que mais preocupa: uma delas não exige autenticação. O impacto potencial é alto porque o FortiSandbox costuma ser posicionado como sistema de análise de amostras em pipelines de detecção — ou seja, um atacante que o comprometa pode manipular verdicts de análise, exfiltrar amostras coletadas ou pivotar para outros ativos da rede de segurança.
CVE-2026-39808 foi descoberta por Samuel de Lucas Maroto, pesquisador da KPMG Espanha, e divulgada pela Fortinet em 14 de abril. É uma falha de injeção de comandos no sistema operacional que afeta o FortiSandbox versões 4.4.0 a 4.4.8. Quando explorada, permite que um atacante execute código ou comandos não autorizados. A correção foi liberada na versão 4.4.9.
CVE-2026-25089 foi identificada por Adham El Karn, do próprio time de Product Security da Fortinet, e divulgada em 9 de junho. Também é uma falha de OS command injection, mas o vetor é ainda mais grave: um atacante não autenticado pode executar comandos por meio de requisições HTTP especialmente construídas. A exposição atinge FortiSandbox 5.0.0 a 5.0.5, 4.4.0 a 4.4.8 e todas as versões 4.2, além de FortiSandbox Cloud 5.0.4 a 5.0.5 e PaaS 5.0.4 a 5.0.5. Correções estão nas versões 4.4.9 e 5.0.6.
“Para serviços em nuvem, agências devem descontinuar o uso do produto se as mitigações não estiverem disponíveis.” — CISA, orientação anexa ao alerta
A repetição do padrão “injeção de comandos + execução remota + sem autenticação” em appliances de segurança segue como uma das dores estruturais da indústria em 2026. Foi assim com o Fortinet FortiWeb em maio, com o Ivanti Xtraction (CVE-2026-8043), com casos anteriores em produtos Palo Alto e SonicWall. O problema não é uma falha isolada de um fabricante: é o modelo de appliance de perímetro executando serviços de rede antigos, expostos a validação de entrada frágil, e ainda posicionado em pontos privilegiados da rede.
Chama atenção que a CVE-2026-39808 foi corrigida em abril e só agora aparece no KEV — o que sugere que a exploração ativa foi identificada em janelas de patch atrasadas por muitos operadores, um problema crônico em ativos “silenciosos” como sandboxes de análise. A CVE-2026-25089, divulgada em junho, entrou no KEV em pouco mais de um mês, o que indica adoção rápida por operadores maliciosos após publicação do aviso Fortinet.
Vale notar o contexto: a CISA ainda não confirmou uso dessas vulnerabilidades em campanhas de ransomware, o que costuma ser o passo seguinte. Vulnerabilidades de RCE em appliances de segurança são exatamente o tipo de vetor que grupos como Akira, Play e RansomHub incorporam em seus playbooks.
A Fortinet mantém presença expressiva no mercado brasileiro, com penetração alta em bancos médios, governo estadual e MSSPs regionais. Instituições que operam FortiSandbox como parte da stack de detecção devem tratar as duas CVEs como emergenciais, não como manutenção de rotina. Não há orientação específica da CTIR Gov até o momento, mas a inclusão no KEV é referência internacionalmente aceita para justificar janelas emergenciais de patch. Para times que operam esses appliances, a decisão de aplicar o patch fora da janela de mudanças planejadas é justificável tecnicamente e operacionalmente esta semana.
Fonte: Infosecurity Magazine
Invasão a servidores da maior operadora de logística refrigerada do Japão causou desabastecimento em mais…
Microsoft alerta que o ACR Stealer, ativo desde 2024, ganhou tração entre abril e junho…
Figure 1 robo/hora rodando na BMW, Unitree com IPO relampago na STAR e Tesla convertendo…
Pesquisadores documentam ADI: ataque forja campos confiaveis e passa por defesas de prompt injection. Claude…
Startup Subquadratic diz ter derrubado o gargalo da attention quadrática dos LLMs: 12M tokens, 56x…
Anthropic protocolou S-1 confidencial e planeja IPO até outubro de 2026 a US$ 965 bi.…