Den boks, hvis opgave er at detonere malware

En sandkasse findes for at blive angrebet. Man køber FortiSandbox, så mistænkelige filer kan åbnes et sted, der ikke er ens netværk, iagttages mens de opfører sig skidt, og bedømmes. Den står efter design præcis dér, hvor det utroværdige ankommer. Det er dét, der gør en uautentificeret kommandoindsprøjtning i dens webgrænseflade til en anden kategori af problem end den samme fejl i en almindelig server.

CVE-2026-25089 er netop det. Fejlen rammer webgrænsefladen i FortiSandbox, FortiSandbox Cloud og FortiSandbox PaaS og lader en uautentificeret angriber udføre uautoriserede kommandoer via særligt udformede HTTP-forespørgsler. Den har en CVSS-score på 9.1. Fortinet offentliggjorde og patchede den den 9. juni 2026.

Midt i juni begyndte udnyttelsen, midt i juli opdagede kataloget det

Udnyttelse af tre FortiSandbox-fejl blev observeret i naturen henover weekenden fra cirka den 14. til den 16. juni, og uafhængig sporing registrerede udnyttelse af CVE-2026-39808 allerede den 12. juni. Fagpressen bragte det dengang: Help Net Security den 16. juni, Qualys dagen efter, ved siden af dækning fra The Hacker News og SecurityWeek. To af de tre, CVE-2026-39808 og CVE-2026-39813, havde Fortinet allerede offentliggjort tilbage i april. Den tredje, CVE-2026-25089, var patchet den 9. juni, dage før angrebene begyndte.

Den 16. juli 2026 udgav CISA katalogversion 2026.07.16 og tilføjede tre poster. To af dem er FortiSandbox-fejlene, CVE-2026-25089 og CVE-2026-39808. Den tredje er en deserialiseringsfejl i Microsoft SharePoint, CVE-2026-58644.

Tæl dagene. Bekræftet, offentligt rapporteret udnyttelse i naturen midt i juni. Optagelse i det føderale katalog den 16. juli. Cirka tredive dage skiller de to ting, på en boks, der kan nås fra internettet, med en uautentificeret fejl til fjernkørsel af kode, og i de tredive dage var oplysningen ikke hemmelig. Den stod i leverandørens advisories og i fagpressen.

Den tredje mangler stadig

Tre FortiSandbox-CVE'er blev rapporteret som udnyttet i den bølge i juni. To blev katalogiseret den 16. juli. CVE-2026-39813, en sti-traverseringsfejl i FortiSandbox' JRPC-API, som kan bruges til at omgå godkendelse, står ikke i kataloget.

Det er den del, der bør ændre, hvordan kataloget bruges, og ikke blot hvor hurtigt. En KEV-optagelse er et stærkt positivt signal: står noget dér, bliver det udnyttet, og så skal I handle. Fraværet af en optagelse er et langt svagere signal, end de fleste patchprogrammer behandler det som. CVE-2026-39813 blev rapporteret som udnyttet ved siden af de to, der blev optaget, i samme bølge, på samme produktfamilie, og den kom ikke i kataloget. En organisation, der patcher det, CISA lister, og udskyder det, CISA ikke lister, har lige udskudt en fejl, som angribere brugte i juni.

Et tre-dages ur på en boks under ændringsstyring

Alle tre poster tilføjet den 16. juli bærer en udbedringsfrist den 19. juli 2026. Tre dage.

For en europæisk operatør er den føderale frist ikke i sig selv bindende, og det er fristende at arkivere den som en amerikansk administrativ detalje. Den er mere brugbar som en aflæsning af alvor. En frist på tre dage er katalogets måde at sige, at det ikke forventer, at I venter på næste vindue. Det ubehagelige er sammenstødet med virkeligheden: en sandkasse-boks ligger normalt under ændringsstyring netop fordi den inspicerer produktionstrafik, og tre dage er ikke et ændringsvindue i de fleste organisationer. Den spænding er det egentlige driftsproblem, og den forsvinder ikke ved at læse fristen grundigere.

Under NIS2 ligger eksponeringen ikke i den amerikanske frist, men i den almindelige omhuspligt, og en uautentificeret fejl til fjernkørsel af kode på en sikkerhedsboks, udnyttet i naturen i en måned med en leverandørpatch tilgængelig, er svær at forklare som en accepteret risiko.

Flyt udløseren

Anvisningen er lille og præcis. Hvis jeres sårbarhedsproces først starter, når noget dukker op i KEV, starter den cirka en måned for sent, og den overser poster helt. Det er ikke kritik af kataloget, som gør, hvad det siger: det registrerer det, der vides at være udnyttet, når beviserne når tærsklen. Det er kritik af at bruge et bekræftelsesfeed som varslingssystem.

Gør tre ting. Abonnér direkte på PSIRT-advisories fra enhver leverandør, hvis bokse terminerer utroværdig trafik, for Fortinet offentliggjorde dette i juni, mens kataloget talte i juli. Giv internetvendte sikkerhedsbokse deres egen patchbane med et kortere ur end den generelle infrastruktur, eftersom de på én gang er de mest eksponerede og de mest ændringsstyrede aktiver, I ejer. Og tjek jeres FortiSandbox-park mod alle tre juni-CVE'er, ikke mod de to, der blev katalogiseret.