FortiBleed та три CVE FortiSandbox: Настав час платити за Fortinet

Головне питання, яке кожен Head of Platform, що використовує Fortinet на периметрі, має поставити своєму CFO та юридичному відділу цього тижня, — це не те, чи варто встановлювати патчі, а те, чи виправдовує себе продовження контракту на наступні три роки. Три CVE FortiSandbox активно експлуатуються у реальних умовах, а паралельна кампанія під назвою FortiBleed скомпрометувала понад 30 000 міжмережевих екранів у 194 країнах. Економіка периметра на основі одного вендора щойно змінилася, і більшість бюджетів на безпеку ще не встигли це відобразити.

Це вже не просто історія про вразливості. Це історія про ризик концентрації на одному вендорі, замаскована під неї.

Що сталося

16 червня 2026 року компанія з аналізу загроз Defused Cyber опублікувала у X, що протягом попередніх 24 годин спостерігала реальну експлуатацію трьох вразливостей FortiSandbox. Як повідомив The Hacker News, усі три CVE мають оцінку CVSS 9.1: CVE-2026-39813 — обхід шляху у JRPC API FortiSandbox, що дозволяє неавтентифікованому зловмиснику обійти автентифікацію через спеціально сформовані HTTP-запити; CVE-2026-39808 — ін'єкція команд ОС без автентифікації через HTTP; та CVE-2026-25089 — третя ін'єкція команд ОС, що зачіпає FortiSandbox, FortiSandbox Cloud та FortiSandbox PaaS WEB UI.

Fortinet випустив патчі для перших двох у квітні 2026 року. Третя вразливість була виправлена лише за тиждень до публікації. Defused Cyber оцінила, що експлойт для CVE-2026-25089 має ознаки розробки за допомогою моделі ШІ і є недосконалим. Жодного робочого публічного експлойта оприлюднено не було.

За цим розкриттям інформації криється значно більша проблема. SOCRadar повідомив, що підозрювані російськомовні зловмисники скомпрометували понад 30 000 міжмережевих екранів Fortinet у 194 країнах після виявлення операційного сервера, пов'язаного з цією діяльністю. База даних зловмисника, за даними SOCRadar, «містить облікові дані для входу для понад 30 791 пристрою, що належить компаніям та державним організаціям у 194 країнах». Це були не здогадки. Це були перевірені, робочі облікові дані, протестовані автоматизованими інструментами, що працювали цілодобово.

Hudson Rock 17 червня надав більш точні цифри: кампанія під назвою FortiBleed зачепила 73 932 унікальні URL-адреси міжмережевих екранів та 21 632 унікальних уражених домени. Volodymyr «Bob» Diachenko, який першим повідомив про цю активність у LinkedIn, оцінив операцію у 1,16 мільярда спроб підбору облікових даних проти 320 777 цілей FortiGate та 2,1 мільярда спроб проти 163 650 серверів MS-SQL. Серед скомпрометованих пристроїв — банки, телекомунікаційні оператори, лікарні, університети, державні органи та енергетичні компанії. На Індію припадає 60% розгортань Fortinet, доступних з інтернету, у державному секторі.

Технічна анатомія

Три CVE FortiSandbox мають спільну структуру. Всі вони не потребують автентифікації, всі доступні через HTTP, і всі розташовані на пристрої, якому за своєю природою надається глибока довіра всередині інспекційного конвеєра. Апліанс sandbox отримує підозрілі файли та URL-адреси з усього середовища, а отже, він зазвичай підключений до поштового потоку, веб-проксі, EDR та SIEM. Компрометуйте sandbox — і ви опинитесь не на краю мережі, а в центрі її логіки виявлення.

CVE-2026-39813 — це обхід шляху у JRPC API, що означає можливість обминути автентифікацію ще до виконання будь-якої бізнес-логіки. Поєднайте це з двома помилками ін'єкції команд ОС (CVE-2026-39808 та CVE-2026-25089), і ланцюжок знищення зводиться до одного HTTP-запиту: обійти авторизацію, ввести команду, виконати від імені апліансу. Для досягнення результату не потрібен жодний крок бокового переміщення. Ви можете перевірити відповідні записи в базі даних MITRE CVE, щоб підтвердити цю закономірність, але операційна реальність є зрозумілою: це саме ті помилки, які потрапляють до каталогу CISA KEV за лічені дні, а не тижні.

FortiBleed — це зовсім інша тварина. Це не єдиний zero-day, це машина для збору облікових даних. SOCRadar описує двоетапний підхід: спершу перевіряються раніше витоклі паролі Fortinet проти пристроїв, доступних з інтернету, оскільки багато організацій ніколи не змінювали облікові дані після попередніх зломів. Потім, отримавши доступ до пристрою, зловмисники пасивно моніторять мережевий трафік для збору додаткових облікових даних у міру їх проходження. Скомпрометовані міжмережеві екрани перетворюються на пункти прослуховування, що повертають нові облікові дані в ротацію. Hudson Rock зазначає, що зловмисники зламують хеші на кластері з 45 GPU, керованому через Hashtopolis, і переходять від перехопленої автентифікації SSL-VPN до внутрішніх середовищ Active Directory.

Тривожна деталь, за словами Hudson Rock: «Особливо тривожним є велика кількість надзвичайно складних паролів, які були успішно скомпрометовані». Їх висновок є прямолінійним: «Складність повністю нейтралізується, коли паролі відновлюються у відкритому тексті». Якщо ваша парольна політика була останнім рубежем захисту на VPN, цей рубіж стертий.

Хто постраждає

Три групи мають провести цього кварталу неприємні внутрішні розмови.

Перша — це будь-який регульований оператор, чия інфраструктура Fortinet знаходиться всередині ліцензованого периметра. Ліцензовані iGaming-платформи, платіжні установи та криптовалютні біржі зазвичай стандартизуються на одному вендорі міжмережевих екранів, оскільки аудиторські докази легше збирати. Ця стандартизація тепер є зобов'язанням. Скомпрометований апліанс SSL-VPN, що передає облікові дані в Active Directory, — це саме той патерн зламу, що ініціює повідомлення за Статтею 33 GDPR, звіти FCA SUP 15 та подання про інциденти до ігрових регуляторів. Питання для юридичного відділу — не «чи встановлено патчі», а «яке наше зобов'язання щодо розкриття інформації, якщо наші облікові дані зараз знаходяться в базі даних російськомовного оператора».

Друга група — це фінтех та криптокомпанії з концентрацією в Індії, США або Сінгапурі. Ці три країни входять до топ-10 постраждалих, і Індія особливо структурно вразлива через щільність розгортань у державному секторі. Для фінтеху серії B з інженерним хабом у Бангалорі, захищеним VPN Fortinet, реалістичне питання полягає в тому, чи вже скомпрометовано корпоративний периметр ідентифікації, а не в тому, чи це може статися.

Третя група — це менші провайдери керованих послуг безпеки, що перепродають Fortinet як свій стандартний стек. Їхня маржинальна модель залежить від об'ємних знижок від вендора та спільних плейбуків. Коли основний апліанс виявляється причетним до кампанії зі збору облікових даних такого масштабу, тиск відтоку клієнтів падає на MSSP, а не на Fortinet. Очікуйте, що розмови про продовження контрактів загостряться, і хоча б один середньоринковий MSSP використає цей момент, щоб диверсифікувати свій стек у бік Palo Alto, Cisco або хмарного ZTNA-рішення. Ринок найму слідує: досвідчені інженери Fortinet, які також вільно орієнтуються у Zscaler або Cloudflare Access, стали суттєво ціннішими.

CFO будь-якої з цих компаній має запитати VP of Engineering цього тижня: яка реальна вартість переходу, у доларах і людино-місяцях інженерів, від Fortinet на всьому периметрі до Fortinet лише в одній зоні з трьох? Шість місяців тому ця цифра була теоретичною. Тепер вона є вхідним параметром для наступного бюджетного циклу.

Плейбук для команд безпеки

Негайно встановіть патчі для трьох CVE FortiSandbox, якщо ви ще цього не зробили. CVE-2026-39813 та CVE-2026-39808 доступні з квітня 2026 року, тому будь-який непатчений екземпляр зараз є вразливим понад шістдесят днів до активної експлуатації. CVE-2026-25089 був виправлений на тижні 9 червня. Ставтесь до всіх трьох як до еквівалента KEV незалежно від того, чи з'явились вони вже в каталозі CISA.

Крім встановлення патчів, цього тижня важливі три дії. По-перше, змініть кожен обліковий запис, що будь-коли проходив через SSL-VPN FortiGate. Не лише адміністративні облікові дані — усі. Модель FortiBleed передбачає, що пристрій став пунктом прослуховування з моменту компрометації, тому весь попередній трафік є підозрілим. По-друге, шукайте патерн постексплуатації, описаний Hudson Rock: перехоплення автентифікації SSL-VPN з подальшою розвідкою Active Directory. Шукайте аномальні запити Kerberos та LDAP, що походять з IP-діапазонів VPN-концентраторів. По-третє, чесно перевірте свою парольну політику. Якщо ваша стратегія захисту спиралася на ентропію паролів, ця стратегія більше не працює. Фішингостійка MFA на межі VPN — це вже не опція, а обов'язкова вимога.

Одна операційна нотатка щодо деталі про експлойт, згенерований ШІ. Спостереження Defused Cyber про те, що експлойт для CVE-2026-25089 був розроблений за допомогою ШІ і є недосконалим, — це попередження, а не аномалія. Наступні дванадцять місяців принесуть стабільний потік напів-робочих, згенерованих ШІ, експлойтів, що вражатимуть виробничі цілі протягом кількох днів після виходу патча. Інженерія виявлення має прийняти скорочення вікна між патчем та зброєю як норму, а не виняток.

Ключові висновки

• Три CVE FortiSandbox (CVE-2026-39813, CVE-2026-39808, CVE-2026-25089), усі з оцінкою CVSS 9.1, перебувають під активною експлуатацією за даними Defused Cyber; два виправлено у квітні 2026 року, один — лише на тижні 9 червня.
• FortiBleed скомпрометував понад 30 000 міжмережевих екранів Fortinet у 194 країнах за даними SOCRadar; Hudson Rock нарахував 73 932 унікальні URL-адреси екранів та 21 632 уражені домени.
• Кампанія обробила 1,16 мільярда спроб підбору облікових даних проти 320 777 цілей FortiGate, зламуючи хеші на кластері з 45 GPU під керуванням Hashtopolis і переходячи в Active Directory через перехоплення SSL-VPN.
• Складність паролів не є захистом, коли облікові дані відновлюються у відкритому тексті зі скомпрометованих апліансів; фішингостійка MFA на межі VPN — це тепер мінімальна вимога, а не максимум.
• Команди, що оцінюють стек периметра на 2027 рік, мають тепер запитати: як виглядає вартість продовження, якщо Fortinet — це одна зона з трьох, а не стандарт усюди?