Se ha elevado el nivel de alerta tras confirmarse, a través de telemetría en vivo y la captura de datos en infraestructura de engaño (honeypots), que actores de amenazas están explotando activamente un clúster de vulnerabilidades críticas en la plataforma Fortinet FortiSandbox. Los ataques observados durante las últimas 24 horas demuestran que los adversarios han automatizado secuencias de explotación contra el puerto 443, abusando de fallos específicos en la API para evadir la autenticación, robar datos y ejecutar comandos.
Veredicto Analítico
- Estado: Confirmado (Ataques detectados en la naturaleza mediante telemetría de sensores honeypot).
- Confianza: Alta (Basado en la interceptación directa de los payloads maliciosos enviados al appliance).
- Riesgo para SOC TDIR: Crítico. La explotación confirmada significa que la fase de investigación teórica ha terminado; los atacantes han militarizado (weaponized) de manera exitosa estos fallos. Un dispositivo FortiSandbox comprometido puede ser utilizado para marcar cargas de malware como “limpias”, evadiendo los bloqueos del FortiGate y facilitando el movimiento lateral dentro de la red corporativa.
- Urgencia operativa: Inmediata. Cualquier interfaz de gestión o puerto de API de FortiSandbox que se encuentre expuesto a Internet está bajo asedio inminente y debe ser aislado de inmediato.
- Base del veredicto: La captura de payloads funcionales enviados al endpoint /jsonrpc/ que logran la ejecución de comandos de Unix y saltos de directorio sin requerir credenciales previas.
Hallazgos Clave y Vulnerabilidades Explotadas
La actividad maliciosa detectada se concentra en tres vulnerabilidades críticas, todas desencadenables mediante una única petición HTTP sin autenticar:
- CVE-2026-39813 (Path Traversal – Explotación Inédita): Los atacantes están inyectando secuencias de salto de directorio, utilizando estructuras como session: “../../tmp/”, dentro de las peticiones a la API JRPC. Esto les permite extraer configuraciones de respaldo, números de serie y detalles de versión del sistema. Es la primera vez que se observa la explotación real en la naturaleza de este fallo.
- CVE-2026-39808 (OS Command Injection): Se ha detectado el despliegue de cargas útiles que abusan del parámetro GET jid, encadenando comandos de Unix mediante tuberías (|). Esta actividad coincide directamente con el exploit de Prueba de Concepto (PoC) público que estaba disponible desde abril de 2026.
- CVE-2026-25089 (OS Command Injection): Aunque no existe un PoC funcional divulgado públicamente para este CVE en particular, los sensores honeypot están captando intentos de explotación sobre la interfaz web de FortiSandbox Cloud/PaaS y versiones on-premise, lo que indica que los grupos criminales han desarrollado sus propios exploits privados funcionales.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: Los atacantes ejecutan escaneos masivos en Internet buscando el puerto 443 (HTTPS) habilitado en dispositivos que respondan a la firma de FortiSandbox. Una vez localizado, envían peticiones HTTP POST meticulosamente diseñadas hacia el endpoint de la API /jsonrpc/.
- Mecanismo de Infección: Al no existir controles previos de autenticación robustos para ciertas funciones de esta ruta, el motor interno procesa los parámetros inyectados (como el parámetro jid manipulado o la variable de sesión). Esto otorga a los atacantes la capacidad de leer archivos confidenciales del sistema Linux subyacente o detonar la ejecución de secuencias de shell interactivas con permisos de superusuario (root).
TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de infraestructura y aplicaciones expuestas al público (Exploit Public-Facing Application).
- Ejecución / Recolección: Inyección de comandos para el descubrimiento de información y extracción del sistema operativo (Command and Scripting Interpreter / System Information Discovery).
- Impacto: Subversión del appliance defensivo para manipular el comportamiento de la red (Impair Defenses).
Recomendaciones Operativas
Para Administradores de Red / Infraestructura (Acción Inmediata)
- Aislamiento Perimetral Absoluto: Validar inmediatamente en las políticas del firewall de borde (FortiGate u otros) que ninguna dirección IP pública tenga acceso o enrutamiento hacia la interfaz web, la GUI o el puerto 443 del appliance FortiSandbox. La administración debe estar restringida exclusivamente a conexiones VPN internas o redes Out-of-Band (OOB).
- Parcheo Prioritario: Desplegar inmediatamente las actualizaciones de firmware disponibles para FortiSandbox. Es vital confirmar que versiones altamente afectadas (como las ramas 4.2.x, 4.4.0–4.4.8 y 5.0.0–5.0.5) queden actualizadas para remediar las fallas estructurales en el endpoint /jsonrpc/.
Para el SOC (Monitoreo y Detección)
- Cacería de IoCs en el Tráfico Web: Implementar reglas de inspección profunda (DPI) en los sensores de red internos o WAF para alertar sobre cualquier solicitud HTTP POST dirigida a /jsonrpc/ que contenga indicadores anómalos: secuencias ../../, longitud desproporcionada en el parámetro jid o caracteres típicos de encadenamiento bash (|, ;, &&).
- Auditoría Forense de Descargas: Analizar de forma retrospectiva los registros del servidor web del FortiSandbox para identificar accesos anónimos recientes a archivos de configuración de respaldo o información de licenciamiento, asumiendo el compromiso si provienen de IPs externas sospechosas.
Para CTI (Inteligencia de Amenazas)
- Monitoreo de Corredores de Acceso Inicial (IAB): Debido a que se confirmó el robo de números de serie y versiones mediante el Path Traversal, el equipo de CTI debe estar alerta en foros de la dark web sobre la venta de accesos iniciales que coincidan con el perfil de la organización, un paso previo habitual al despliegue de ransomware.
- Reevaluación de la Integridad de Archivos (Assume Breach): Si el dispositivo estuvo expuesto a Internet sin parchear durante las últimas 72 horas, cualquier veredicto de “archivo seguro” emitido por el FortiSandbox hacia los firewalls o sistemas de correo corporativos debe considerarse poco fiable y amerita reevaluación con escáneres secundarios.
