CISA Desak Patch Dua Celah Fortinet FortiSandbox yang Aktif Dieksploitasi

U.S. Cybersecurity and Infrastructure Security Agency (CISA) memasukkan dua kerentanan kritikal pada Fortinet FortiSandbox ke dalam katalog Known Exploited Vulnerabilities (KEV) setelah keduanya dikonfirmasi aktif dieksploitasi.
Dua celah tersebut adalah CVE-2026-39808 dan CVE-2026-25089. Keduanya berkaitan dengan OS command injection dan dapat memungkinkan penyerang tanpa autentikasi menjalankan kode atau perintah tidak sah melalui HTTP request yang dirancang khusus.
FortiSandbox merupakan platform deteksi dan analisis ancaman milik Fortinet. Karena celah ini berada pada produk keamanan yang berperan dalam proses inspeksi ancaman, eksploitasi terhadap sistem yang belum ditambal berpotensi membuka ruang serangan serius di lingkungan organisasi.
Fortinet telah merilis perbaikan untuk CVE-2026-39808 pada 14 April 2026. Kerentanan ini berdampak pada FortiSandbox 4.4.0 hingga 4.4.8, dengan rekomendasi upgrade ke versi 4.4.9 atau yang lebih baru. FortiSandbox 5.0 disebut tidak terdampak oleh celah tersebut.
Sementara itu, CVE-2026-25089 diperbaiki pada 9 Juni 2026. Celah ini memengaruhi sejumlah rilis FortiSandbox, FortiSandbox Cloud, dan FortiSandbox PaaS pada cabang 5.0 serta 4.4 tertentu. Fortinet merekomendasikan upgrade ke versi yang telah diperbaiki, termasuk 5.0.6 atau 4.4.9 sesuai cabang produk yang digunakan.
Kedua kerentanan tersebut memiliki skor CVSSv3 9.1 dan dikategorikan Critical. Eksploitasinya tidak memerlukan autentikasi, tidak membutuhkan interaksi pengguna, dan dapat dilakukan dengan kompleksitas rendah melalui request yang dibuat khusus.
Meski advisory vendor sebelumnya mencantumkan status eksploitasi publik sebagai belum diketahui, CISA memasukkan CVE-2026-39808 dan CVE-2026-25089 ke katalog KEV setelah adanya konfirmasi eksploitasi aktif di dunia nyata. Laporan intelijen ancaman juga sempat menyoroti aktivitas eksploitasi terhadap beberapa celah FortiSandbox pada pertengahan Juni 2026.
Berdasarkan arahan Binding Operational Directive 26-04, lembaga federal AS wajib menambal instance FortiSandbox yang rentan paling lambat Minggu, 19 Juli 2026. Meski tenggat tersebut mengikat khusus untuk lembaga federal, organisasi non-pemerintah juga sebaiknya menjadikannya acuan prioritas patching.
Kerentanan pada produk Fortinet kerap menjadi target kampanye spionase siber maupun serangan ransomware. CISA melacak puluhan celah Fortinet yang telah dieksploitasi dalam beberapa tahun terakhir, termasuk sejumlah kerentanan yang dikaitkan dengan operasi ransomware.
Administrator disarankan segera menginventarisasi seluruh deployment FortiSandbox, memeriksa versi yang digunakan, menerapkan upgrade resmi, serta memantau log untuk indikasi request mencurigakan atau aktivitas eksekusi perintah yang tidak wajar.








