Fortinet publicou avisos de seguridade críticos para corrixir dúas vulnerabilidades que afectan a FortiAuthenticator e FortiSandbox, produtos amplamente utilizados en contornas corporativas para autenticación, control de acceso e análise de ameazas.
As vulnerabilidades poderían permitir que un atacante non autenticado execute código ou comandos arbitrarios mediante peticións manipuladas contra interfaces vulnerables expostas.
Vulnerabilidades identificadas
CVE-2026-44277 — FortiAuthenticator
- Severidade: Crítica
- Tipo: Control de acceso incorrecto
- Impacto:
- Execución remota de código sen autenticación
- Compromiso dos servizos de autenticación
- Posible acceso non autorizado a infraestruturas corporativas
A vulnerabilidade afecta á API de FortiAuthenticator e permite que un atacante remoto envíe solicitudes manipuladas para executar accións non autorizadas.
Versións afectadas:
- •FortiAuthenticator 6.5.x
- FortiAuthenticator 6.6.x
- FortiAuthenticator 8.0.x
Versións corrixidas:
- 6.5.7
- 6.6.9
- 8.0.3
Fortinet indicou que FortiAuthenticator Cloud non está afectado.
CVE-2026-26083 — FortiSandbox
- Severidade: Crítica
- Tipo: Autorización insuficiente
- Impacto:
- Execución de comandos non autorizados
- Compromiso do sistema de análise sandbox
- Posible movemento lateral dentro da rede corporativa
A vulnerabilidade afecta á interface web de FortiSandbox e pode explotarse mediante solicitudes HTTP manipuladas sen necesidade de credenciais válidas.
Produtos afectados:
- FortiSandbox
- FortiSandbox Cloud
- FortiSandbox PaaS
Versións corrixidas:
- FortiSandbox 5.0.2 ou superior
- FortiSandbox 4.4.9 ou superior
Risco operativo
Estas vulnerabilidades afectan compoñentes especialmente sensibles dentro da arquitectura de seguridade corporativa:
- Sistemas de autenticación e control de acceso
- Plataformas de análise de malware e ficheiros sospeitosos
- Infraestruturas expostas a Internet
- Contornas empresariais con segmentación insuficiente
O risco resulta especialmente relevante debido ao historial recente de explotación de produtos Fortinet por actores vinculados a campañas de ransomware e espionaxe.
Aínda que actualmente non existen evidencias públicas de explotación activa, a natureza dos fallos e a exposición habitual destes sistemas incrementan significativamente o risco operativo.
Mapeo MITRE ATT&CK
Posibles técnicas asociadas:
- T1190 – Exploit Public-Facing Application
- T1059 – Command and Scripting Interpreter
- T1068 – Exploitation for Privilege Escalation
- T1210 – Exploitation of Remote Services
- T1105 – Ingress Tool Transfer
Mitigacións recomendadas
- Actualizar inmediatamente FortiAuthenticator e FortiSandbox ás versións corrixidas
- Restringir o acceso administrativo unicamente a redes de confianza
- Evitar a exposición directa de interfaces de xestión a Internet
- Revisar regras de firewall e segmentación asociadas aos sistemas Fortinet
- Monitorizar peticións HTTP anómalas cara a interfaces web e APIs
- Revisar rexistros de autenticación e actividade administrativa sospeitosa
- Correlacionar eventos EDR/NDR relacionados con:
- FortiAuthenticator
- FortiSandbox
- accesos administrativos inusuais
- execución de procesos inesperados
As vulnerabilidades que afectan plataformas de autenticación e análise de ameazas teñen un impacto especialmente elevado debido á súa posición central dentro da arquitectura de seguridade corporativa.
A combinación de:
- explotación sen autenticación
- execución remota de código
- exposición frecuente a Internet
- integración con sistemas críticos
converte este tipo de fallos en obxectivos prioritarios para campañas de intrusión avanzada, ransomware e operacións de espionaxe.
