Theo công ty tình báo mối đe dọa Deffused, những kẻ tấn công hiện đang khai thác một số lỗ hổng nghiêm trọng trong nền tảng phát hiện mối đe dọa mạng FortiSandbox của Fortinet.
Fortinet đã phát hành bản cập nhật bảo mật cho ba lỗi bảo mật có mức độ nghiêm trọng nghiêm trọng này (được theo dõi là CVE-2026-39813, CVE-2026-39808 Và CVE-2026-25089) vào ngày 14 tháng 4.
Những lỗ hổng này cho phép các tác nhân đe dọa chưa được xác thực leo thang đặc quyền và thực thi mã trái phép từ xa thông qua các cuộc tấn công tiêm lệnh có độ phức tạp thấp mà không cần sự tương tác của người dùng. Để giải quyết những vấn đề này và ngăn chặn các cuộc tấn công sắp tới, quản trị viên phải nâng cấp các hoạt động triển khai bị ảnh hưởng lên phiên bản phát hành mới nhất.
“Chúng tôi đang quan sát việc khai thác nhiều lỗ hổng FortiSandbox của Fortinet trong 24 giờ qua, bao gồm: CVE-2026-39813 (không có hoạt động khai thác nào được ghi nhận trước đó), CVE-2026-39808, CVE-2026-25089 (vibecoded, có thể là khai thác bị lỗi),” Defused cảnh báo vào thứ Hai. “Theo nghiên cứu của chúng tôi, việc khai thác CVE-2026-25089 vẫn chưa được tiết lộ công khai.”
Vào tháng 4, Fortinet cũng đã gắn cờ một lỗ hổng truyền tải đường dẫn có mức độ nghiêm trọng trung bình (CVE-2025-61624) được khai thác ngoài tự nhiên, một lỗ hổng có thể cho phép những kẻ tấn công được xác thực leo thang đặc quyền. Tuy nhiên, việc khai thác thành công đòi hỏi đặc quyền cao trên các hệ thống được nhắm mục tiêu, ngụ ý rằng nó rất có thể bị liên kết với một vấn đề bảo mật khác.
BleepingComputer đã liên hệ với Fortinet để xác nhận các báo cáo về hoạt động khai thác đang diễn ra nhưng chưa có phản hồi ngay lập tức.
Lỗ hổng bảo mật của Fortinet thường bị khai thác trong cuộc tấn công ransomware (thường là lỗi zero-day) và trong gián điệp mạng các chiến dịch xâm nhập vào mạng lưới của các mục tiêu.
Gần đây nhất, Fortinet đã phát hành bản cập nhật bảo mật cho giải quyết một lỗ hổng nghiêm trọng khác trong FortiSandbox (CVE-2026-26083) có thể cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống chưa được vá.
Vào tháng 2, nó cũng đã vá một lỗ hổng SQL nghiêm trọng (CVE-2026-21643) trong nền tảng Máy chủ quản lý doanh nghiệp FortiClient (EMS), được gỡ lỗi gắn cờ được khai thác tích cực một tháng sau. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) ra lệnh cho các cơ quan liên bang vào ngày 13 tháng 4 để bảo vệ các phiên bản FortiClient EMS của họ trước các cuộc tấn công nhắm vào lỗ hổng CVE-2026-21643 trong vòng ba ngày.
Tổng cộng, CISA theo dõi 26 lỗ hổng của Fortinet đã bị khai thác trong các cuộc tấn công trong những năm gần đây, 13 trong số đó đã bị các băng đảng ransomware lạm dụng.
Các nhóm bảo mật ghi lại 54% các cuộc tấn công thành công và cảnh báo chỉ 14%. Phần còn lại di chuyển qua môi trường của bạn mà không thể nhìn thấy.
Báo cáo nghiên cứu chuyên sâu của Picus cho thấy cách mô phỏng vi phạm và tấn công kiểm tra các quy tắc SIEM và EDR của bạn để các mối đe dọa không còn bị phát hiện.