Zum Hauptinhalt springen
S-EDV news
← Alle News
Sicherheit & Datenschutz 18.07.2026 · 3 min Lesezeit

Fortinet FortiSandbox: Zwei aktiv ausgenutzte RCE-Lücken in CISA KEV

CISA hat am 16. Juli 2026 zwei kritische OS-Injection-Lücken in Fortinet FortiSandbox als aktiv ausgenutzt eingestuft. CVE-2026-25089 und CVE-2026-39808 erlauben unauthentifizierte Remote Code Execution mit CVSS 9.1. Patches stehen seit April und Juni bereit.

Fortinet FortiSandbox Sicherheitswarnung mit zwei aktiv ausgenutzten Remote Code Execution Schwachstellen in der CISA Known Exploited Vulnerabilities Liste. Moderne Cybersecurity IT News Grafik mit RCE Warnsymbol, FortiSandbox Appliance und Sicherheitsala

CISA hat am 16. Juli 2026 zwei kritische OS-Command-Injection-Lücken in Fortinet FortiSandbox in den Known Exploited Vulnerabilities Catalog aufgenommen. CVE-2026-25089 und CVE-2026-39808 erlauben unauthentifizierten Angreifern aus dem Netz beliebige Befehle auf dem System auszuführen. Für US-Bundesbehörden galt eine Patch-Frist bis zum 19. Juli. Wer FortiSandbox on-prem oder als PaaS betreibt, muss sofort prüfen.

Was ist passiert?

Fortinet hatte die Patches für diese Lücken bereits früher ausgeliefert: CVE-2026-39808 wurde im April 2026, CVE-2026-25089 im Juni 2026 behoben, ohne dass Fortinet die Lücken zu diesem Zeitpunkt als aktiv ausgenutzt kennzeichnete. Erst Mitte Juni 2026 identifizierte ein Threat-Intelligence-Anbieter aktive Angriffe. Am 16. Juli 2026 hat CISA beide Schwachstellen offiziell als ausgenutzt bestätigt und in den KEV-Catalog aufgenommen.

Beide Lücken sind OS-Command-Injection-Schwachstellen (CVSS 9.1): Ein nicht authentifizierter Angreifer kann über speziell präparierte HTTP-Anfragen beliebige Betriebssystembefehle auf dem FortiSandbox-Host ausführen.

Wer ist betroffen?

  1. Fortinet FortiSandbox (on-premises): Alle Versionen vor den im April und Juni 2026 veröffentlichten Patches.
  2. FortiSandbox Cloud: Ebenfalls in der CISA-Warnung genannt.
  3. FortiSandbox PaaS: Ebenfalls betroffen laut CISA-Advisories.
  4. Nicht betroffen: Andere Fortinet-Produkte wie FortiGate, FortiManager oder FortiAuthenticator sind von diesen spezifischen CVEs nicht betroffen.

Wie kritisch ist das?

CVSS 9.1 bei unauthentifizierter Remote Code Execution ist die höchste Dringlichkeitsstufe. FortiSandbox sitzt in der Regel an einem neuralgischen Punkt im Netzwerk, da es eingehende Dateien und Bedrohungen analysiert. Eine Kompromittierung dieser Komponente gibt Angreifern Zugang zur Sicherheitsinfrastruktur selbst und kann zur Manipulation von Analyseergebnissen oder zur lateralen Bewegung ins Produktivnetz führen.

Besonders problematisch ist die Zeitlücke: Die Patches standen seit April bzw. Juni bereit, aber die aktive Ausnutzung war nicht kommuniziert. Viele Unternehmen haben diese Updates möglicherweise nicht als dringend eingestuft.

Was sollten Admins jetzt tun?

  1. Sofort prüfen, ob FortiSandbox (on-prem, Cloud oder PaaS) im Einsatz ist und auf welchem Versionsstand.
  2. Fortinets offizielle Advisories zu CVE-2026-25089 und CVE-2026-39808 auf der Fortinet Support-Seite aufrufen und gepatchte Versionen identifizieren.
  3. Patches sofort einspielen, nicht auf das nächste Wartungsfenster warten.
  4. FortiSandbox-Logs auf auffällige HTTP-Anfragen ab Mitte Juni 2026 prüfen, um mögliche Kompromittierungen zu erkennen.
  5. Falls kein sofortiger Patch möglich: Zugang zur FortiSandbox-Verwaltungsoberfläche auf vertrauenswürdige IP-Adressen beschränken.
  6. CISA KEV-Deadline (19. Juli) als Referenzrahmen nutzen, auch wenn sie formal nur US-Bundesbehörden bindet.

Einordnung für Unternehmen

Dieser Vorfall zeigt ein bekanntes Muster: Hersteller veröffentlichen Patches ohne vollständige Offenlegung der Ausnutzung, um Angreifern keinen Hinweis zu geben. Das Ergebnis ist, dass IT-Teams die Updates nicht priorisieren. Die beste Gegenmaßnahme ist ein strikter, zeitbasierter Patch-Prozess für Sicherheitsinfrastruktur, unabhängig von der kommunizierten Kritikalität. Sicherheitskomponenten wie Sandboxen, Firewalls und SIEM-Systeme sollten immer mit den kürzesten Wartungsfenstern bedient werden.

Passende Artikel auf S-EDV

  1. VPN-Gateway-Lücken: Palo Alto, Check Point und WatchGuard im Sommer 2026 – Ähnliches Muster bei anderen Netzwerk-Sicherheitsgeräten in diesem Sommer.
  2. CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist – Wie der KEV-Catalog als Patch-Priorisierungswerkzeug funktioniert.
  3. Fortinet Juni 2026: Kritische RCE-Patches für FortiSandbox und FortiAuthenticator – Die zugehörigen Fortinet-Patches aus dem Vormonat als Hintergrund.

Quellen

  1. CISA Known Exploited Vulnerabilities Catalog, 16.07.2026
  2. Cybersecurity News: CISA warnt vor FortiSandbox-Lücken
  3. Dr. Web: FortiSandbox-Lücke und die stille Vorgeschichte
  4. Daily Security Review: CISA Patch-Deadline für FortiSandbox