FortiSandbox sotto attacco: tre falle critiche sfruttate e un exploit che sembra generato dall’AI
Le appliance di analisi malware di Fortinet sono finite nel mirino. La società di threat intelligence Defused Cyber ha segnalato lo sfruttamento attivo di tre vulnerabilità in FortiSandbox, la piattaforma che molte organizzazioni usano per detonare file sospetti in ambiente isolato. Il dettaglio che cambia il quadro: l’exploit per una delle tre falle mostra segni di essere stato sviluppato con un modello di intelligenza artificiale, ed è difettoso.
Cosa è stato sfruttato
Defused Cyber ha intercettato tentativi di sfruttamento contro tre Common Vulnerabilities and Exposures, tutte critiche e tutte sfruttabili senza autenticazione via HTTP. Si tratta di tentativi rilevati da sensori di tipo honeypot: la società non riporta vittime confermate, né attribuzione, né attività di post-exploitation.
CVE-2026-39813 (base CVSS 9.8) è una path traversal nella JRPC API di FortiSandbox che consente a un attaccante non autenticato di aggirare l’autenticazione tramite richieste HTTP costruite ad arte.
CVE-2026-39808 (base CVSS 9.8) è una OS command injection che permette l’esecuzione di comandi non autorizzati, sempre via richieste HTTP malevole. Per questa falla circola un proof of concept pubblico, con tanto di template Nuclei, sin da aprile.
Le prime due erano già state corrette da Fortinet ad aprile 2026. La terza è più recente.
CVE-2026-25089 (CVSS 9.1, advisory Fortinet FG-IR-26-141) è una second order OS command injection che Fortinet riconduce alla funzione start VNC della Web UI di FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS. È stata risolta soltanto la scorsa settimana, con pubblicazione dell’avviso il 9 giugno: la finestra tra patch e tentativi di sfruttamento si è ridotta a pochi giorni.
Sui punteggi le fonti divergono in modo sistematico: alcune indicano il base score (NVD e tracker, fino a 9.8), altre il punteggio temporale in stile advisory (9.1, abbassato dai modificatori su disponibilità della patch e maturità del codice).
L’exploit «scritto» dall’AI
Secondo Defused Cyber, l’exploit per CVE-2026-25089 presenta tracce di generazione tramite un modello di AI ed è, allo stesso tempo, malfunzionante; per questa specifica vulnerabilità nessun exploit funzionante risulta ancora pubblicamente disponibile (a differenza della 39808, per cui un proof of concept circola da aprile). Fotografa bene la fase attuale: l’automazione offensiva tramite Large Language Model comprime i tempi di weaponization, ma non garantisce ancora affidabilità. Un codice oggi difettoso può però diventare operativo con poche iterazioni. È lo stesso terreno su cui si gioca il modello di minaccia degli assistenti AI, come mostrato dal caso SearchLeak su Copilot.
Per i difensori il segnale è doppio. Cresce la pressione sul patch management degli apparati di sicurezza, che restano un bersaglio privilegiato perché siedono in posizione fidata sulla rete. E la comparsa di exploit generati da AI impone di rivedere le ipotesi sui tempi di reazione: la regola implicita per cui una falla appena corretta è ancora lontana dallo sfruttamento di massa vale sempre meno.
Contesto
Gli apparati Fortinet sono da anni un parafulmine per gli attaccanti: ad aprile 2026 la stessa azienda aveva rilasciato patch fuori ciclo per una falla critica in FortiClient EMS (CVE-2026-35616), già sfruttata in rete. FortiSandbox, in quanto sistema che riceve e analizza contenuti potenzialmente ostili, è un bersaglio di particolare valore: comprometterlo significa poter manipolare i verdetti di analisi e ottenere un punto d’appoggio in un nodo che l’organizzazione considera, per definizione, affidabile. È il nodo della fiducia negli apparati che ricorre anche nel caso Velvet Ant.
La raccomandazione operativa è immediata: verificare di aver applicato gli aggiornamenti per tutte e tre le CVE, limitare l’esposizione delle interfacce di gestione e monitorare le richieste anomale verso JRPC API e Web UI.
