北京
Fortinet这周发布了两个关键安全补丁,分别针对FortiAuthenticator和FortiSandbox。两个漏洞都能让攻击者在未打补丁的系统上执行命令或任意代码,而且都不需要认证。
第一个漏洞编号CVE-2026-44277,影响FortiAuthenticator身份与访问管理解决方案。Fortinet在周二的公告里解释,这是一个访问控制不当漏洞(CWE-284),未认证攻击者可以通过构造特定请求执行未授权代码或命令。修复版本是6.5.7、6.6.9和8.0.3。
有意思的是,Fortinet特意澄清了FortiAuthenticator Cloud不受影响。这个云服务以前叫FortiTrust Identity,是Fortinet自己托管和管理的身份即服务(IDaaS)。本地部署的版本有漏洞,云端反而没事,这种区别对正在做混合架构决策的IT负责人来说是个值得记下的细节。
第二个漏洞CVE-2026-26083是授权缺失问题(CWE-862),影响范围更广:FortiSandbox本体、FortiSandbox Cloud和FortiSandbox PaaS的Web界面全都在列。攻击者同样无需认证,通过HTTP请求就能执行未授权代码。FortiSandbox的定位是防御恶意活动(包括零日威胁)的安全沙箱,结果自己的Web界面先成了攻击入口。
Fortinet没有明确说这两个漏洞已经被野外利用。但历史数据不太乐观——Fortinet的漏洞经常被勒索软件团伙和APT组织盯上,而且往往是零日状态就被用上。今年2月,Fortinet刚修了一个FortiClient EMS的关键漏洞CVE-2026-21643,威胁情报公司Defused一个月后确认它已被主动利用。更近期的是,美国网络安全与基础设施安全局(CISA)4月初刚下令联邦机构紧急修复FortiClient EMS的另一个认证绕过漏洞CVE-2026-35616。
CISA这些年把24个Fortinet漏洞列进了已知被利用目录,其中13个还出现在勒索软件攻击里。这个比例在主流安全厂商里算高的。
两个补丁的修复逻辑都很直接:升级版本。没有临时缓解方案,也没有配置层面的workaround。对运维团队来说,这意味着变更窗口和测试排期,而不是防火墙规则能解决的。
FortiAuthenticator和FortiSandbox都不是边缘产品。前者是企业IAM的核心组件,后者是高级威胁检测的基础设施。它们被攻破的后果不是丢一台终端,而是整个身份体系或分析环境的失控。这次两个漏洞的共同点——未认证即可RCE——也反映了企业软件里一个顽固模式:管理界面和API的权限边界设计,往往在功能迭代中被牺牲掉。
Fortinet的披露节奏值得注意。两个CVE同一天发布,但漏洞类型、影响产品和修复版本各不相同,说明是独立发现、集中披露。对于已经疲于应对CISA指令的安全团队,这又是一次优先级排序的考验:先打IAM还是沙箱?取决于你的暴露面评估,而不是CVSS分数。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
