Het apparaat dat malware moet laten ontploffen

Een sandbox bestaat om aangevallen te worden. U koopt FortiSandbox zodat verdachte bestanden geopend kunnen worden op een plek die niet uw netwerk is, bekeken worden terwijl ze zich misdragen, en beoordeeld worden. Hij staat naar ontwerp precies op het punt waar dingen binnenkomen die geen vertrouwen verdienen. Juist dat maakt een niet-geauthenticeerde command injection in zijn webinterface een ander soort probleem dan dezelfde fout in een gewone server.

CVE-2026-25089 is precies dat. Het lek treft de webinterface van FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS en stelt een niet-geauthenticeerde aanvaller in staat ongeautoriseerde commando's uit te voeren via speciaal vervaardigde HTTP-verzoeken. Het draagt een CVSS-score van 9.1. Fortinet maakte het op 9 juni 2026 bekend en bracht die dag de patch uit.

Half juni begon het misbruik, half juli merkte de catalogus het

Misbruik van drie FortiSandbox-lekken werd in het wild waargenomen in het weekend van ruwweg 14 tot 16 juni, en onafhankelijke tracking registreerde misbruik van CVE-2026-39808 al op 12 juni. De vakpers schreef er destijds over: Help Net Security op 16 juni, Qualys de dag erna, naast berichtgeving van The Hacker News en SecurityWeek. Twee van de drie, CVE-2026-39808 en CVE-2026-39813, waren in april al door Fortinet openbaar gemaakt. De derde, CVE-2026-25089, was op 9 juni gepatcht, dagen voordat de aanvallen begonnen.

Op 16 juli 2026 publiceerde CISA catalogusversie 2026.07.16 en voegde drie vermeldingen toe. Twee daarvan zijn de FortiSandbox-lekken, CVE-2026-25089 en CVE-2026-39808. De derde is een deserialisatielek in Microsoft SharePoint, CVE-2026-58644.

Tel de dagen. Bevestigd, publiek gerapporteerd misbruik in het wild midden juni. Vermelding in de federale catalogus op 16 juli. Ongeveer dertig dagen liggen ertussen, op een vanaf internet bereikbaar apparaat met een niet-geauthenticeerd lek voor uitvoering van code op afstand, en in die dertig dagen was de informatie niet geheim. Ze stond in leveranciersadvisories en in de vakpers.

De derde ontbreekt nog steeds

In die junigolf werden drie FortiSandbox-CVE's als misbruikt gemeld. Twee zijn op 16 juli gecatalogiseerd. CVE-2026-39813, een path-traversallek in de JRPC-API van FortiSandbox waarmee authenticatie omzeild kan worden, staat niet in de catalogus.

Dit is het deel dat zou moeten veranderen hoe de catalogus gebruikt wordt, en niet alleen hoe snel. Een KEV-vermelding is een sterk positief signaal: wat erin staat wordt misbruikt en daar moet u naar handelen. Het ontbreken van een vermelding is een veel zwakker signaal dan de meeste patchprogramma's aannemen. CVE-2026-39813 werd als misbruikt gemeld naast de twee die wel zijn opgenomen, in dezelfde golf, op dezelfde productfamilie, en haalde de catalogus niet. Een organisatie die patcht wat CISA vermeldt en uitstelt wat CISA niet vermeldt, heeft zojuist een lek uitgesteld dat aanvallers in juni hebben gebruikt.

Een klok van drie dagen op een doos onder changebeheer

Alle drie de vermeldingen die op 16 juli zijn toegevoegd dragen een hersteldatum van 19 juli 2026. Drie dagen.

Voor een Europese operator is de federale deadline zelf niet bindend, en het is verleidelijk om hem weg te zetten als een Amerikaans administratief detail. Hij is nuttiger als aflezing van de ernst. Een hersteldatum op drie dagen is de manier van de catalogus om te zeggen dat hij niet verwacht dat u op het volgende venster wacht. Het ongemakkelijke is de botsing met de werkelijkheid: een sandbox-appliance valt meestal juist onder changebeheer omdat hij productieverkeer inspecteert, en drie dagen is in de meeste organisaties geen changevenster. Die spanning is het echte operationele probleem, en die lost niet op door de deadline nauwkeuriger te lezen.

Onder NIS2 zit de blootstelling niet in de Amerikaanse einddatum maar in de gewone zorgplicht, en een niet-geauthenticeerd lek voor uitvoering van code op afstand in een beveiligingsapparaat, een maand lang in het wild misbruikt terwijl er een leverancierspatch klaarlag, is lastig te verdedigen als aanvaard risico.

Verleg de trigger

De aanwijzing is klein en concreet. Als uw kwetsbaarhedenproces begint zodra iets in de KEV verschijnt, begint het ongeveer een maand te laat en mist het zaken volledig. Dat is geen kritiek op de catalogus, die doet wat hij zegt: hij legt vast wat bekend staat als misbruikt, zodra het bewijs de drempel haalt. Het is kritiek op het gebruik van een bevestigingsfeed als systeem voor vroege waarschuwing.

Doe drie dingen. Abonneer u rechtstreeks op de PSIRT-advisoryfeeds van elke leverancier wiens apparaten onvertrouwd verkeer afhandelen, want Fortinet publiceerde dit in juni terwijl de catalogus in juli sprak. Geef beveiligingsapparaten aan de internetrand hun eigen patchbaan met een kortere klok dan de algemene infrastructuur, omdat ze tegelijk de meest blootgestelde en de zwaarst changebeheerde assets zijn die u bezit. En controleer uw FortiSandbox-park tegen alle drie de juni-CVE's, niet tegen de twee die zijn gecatalogiseerd.