Fortinet łata podatności wysokiej wagi: RCE w FortiSandbox i bypass uwierzytelniania w FortiOS

Wprowadzenie do problemu / definicja luki

Fortinet opublikował pakiet poprawek obejmujący wiele produktów (m.in. FortiOS, FortiGate, FortiAuthenticator, FortiClient dla Windows i FortiSandbox), usuwając luki, z których część da się wykorzystać bez uwierzytelnienia. Wśród nich znalazły się m.in. podatność XSS prowadząca do wykonania poleceń oraz obejście mechanizmu uwierzytelniania w scenariuszach opartych o LDAP.

W skrócie

• Fortinet opublikował 8 advisory i naprawił łącznie 9 podatności, w tym dwie o wysokiej wadze.
• Najpoważniejsze kwestie z tej paczki:
  • CVE-2025-52436 (FortiSandbox): XSS, które może skutkować uruchomieniem poleceń bez logowania (przy odpowiednim łańcuchu wykonania).
  • CVE-2026-22153 (FortiOS): bypass uwierzytelniania LDAP dla Agentless VPN lub polityk FSSO w specyficznej konfiguracji zdalnego serwera LDAP.
• Wśród luk średniej wagi wyróżnia się CVE-2025-68686 dotycząca FortiOS SSL-VPN – istotna, bo jest opisywana jako obejście poprawek wdrażanych po wcześniejszych incydentach post-exploit.

Kontekst / historia / powiązania

Szczególnie interesujący (i operacyjnie ważny) jest wątek CVE-2025-68686: Fortinet wskazuje, iż ta luka wiąże się ze scenariuszami „post-exploit” po wcześniejszym przełamaniu urządzenia inną podatnością i dotyczy obejścia mechanizmu związanego z utrzymywaniem „symlink persistence”. W komunikacji padają też odniesienia do historycznie intensywnie atakowanych błędów Fortinet, m.in. CVE-2022-42475, CVE-2023-27997 oraz CVE-2024-21762.

Dodatkowo, zaledwie kilka dni wcześniej Fortinet załatał krytyczne SQLi w FortiClientEMS (CVE-2026-21643), co pokazuje, iż luty 2026 to okres „gęsty” w aktualizacje bezpieczeństwa dla ich portfolio.

Analiza techniczna / szczegóły luki

CVE-2025-52436 (FortiSandbox) – XSS → wykonanie poleceń

• Klasa: XSS (CWE-79) w interfejsie web.
• Istota ryzyka: w określonych warunkach atakujący może doprowadzić do wykonania nieautoryzowanych poleceń/komend bez uwierzytelnienia poprzez spreparowane żądania.
• Co warto podkreślić: XSS bywa traktowany „webowo”, ale w appliance’ach bezpieczeństwa konsekwencją potrafi być przejęcie funkcji administracyjnych lub eskalacja do wykonania poleceń, jeżeli komponenty backendu nie izolują kontekstu/akcji.

CVE-2026-22153 (FortiOS) – bypass uwierzytelniania LDAP dla Agentless VPN / FSSO

• Klasa: Authentication Bypass (CWE-305).
• Warunek konieczny: podatność jest opisywana jako zależna od konkretnej konfiguracji zdalnego serwera LDAP (czyli nie zawsze „włącz i podatne”, tylko „włącz + określony układ”).
• Skutek: możliwość obejścia uwierzytelnienia LDAP w kontekście Agentless VPN albo polityk FSSO, co jest szczególnie groźne, jeżeli te mechanizmy wystawione są do sieci i stanowią bramę do zasobów wewnętrznych.

CVE-2025-68686 (FortiOS SSL-VPN) – obejście poprawek post-exploit / ujawnienie informacji

• Klasa: Exposure of Sensitive Information (CWE-200).
• Co wyróżnia tę lukę: Fortinet opisuje ją jako możliwość obejścia poprawki opracowanej przeciw mechanizmowi „symlink persistency” obserwowanemu w pewnych przypadkach po udanym ataku, poprzez spreparowane żądania HTTP.
• Ważne ograniczenie z perspektywy triage: Fortinet wskazuje, iż środowiska, które nigdy nie miały włączonego SSL-VPN, nie są dotknięte tym problemem.

Praktyczne konsekwencje / ryzyko

• Internet-facing urządzenia Fortinet (zwłaszcza tam, gdzie używany jest SSL-VPN, Agentless VPN, FSSO, integracja z LDAP) są w naturalny sposób bardziej narażone na próby wykorzystania błędów.
• Scenariusz obronny nie powinien zakładać wyłącznie „czy luka jest aktywnie exploitowana dziś”, bo część wektorów bywa wykorzystywana w kampaniach z opóźnieniem (gdy pojawiają się PoC / moduły w frameworkach).
• Szczególnie CVE-2025-68686 jest sygnałem, iż warto myśleć o „czyszczeniu po włamaniu” i twardym przeglądzie urządzeń, bo luka dotyczy mechaniki znanej z przypadków post-exploit.

Rekomendacje operacyjne / co zrobić teraz

1. Zidentyfikuj ekspozycję
   • Które instancje FortiOS/FortiGate mają wystawione: SSL-VPN, Agentless VPN, FSSO, panele zarządzania, integracje LDAP.
2. Priorytetyzuj patching
   • Najpierw systemy internet-facing i krytyczne ścieżki dostępu (VPN/SSO/LDAP, portale administracyjne).
3. Ogranicz powierzchnię ataku natychmiast (gdy patch nie jest „na już”)
   • Odetnij dostęp do interfejsów zarządzania z Internetu (ACL, VPN admin-only, allowlisty).
   • Jeśli SSL-VPN nie jest potrzebny – wyłącz (wątek CVE-2025-68686).
4. Hunting i detekcja
   • Przejrzyj logi i konfiguracje pod kątem nietypowych zmian (nowi admini, zmiany reguł, nieznane integracje LDAP/FSSO, nietypowe żądania HTTP do komponentów VPN).
5. Hardening po aktualizacji
   • Rotacja haseł adminów, przegląd kont lokalnych, MFA tam gdzie możliwe, segmentacja zarządzania (oddzielne VRF/VLAN dla mgmt).

Różnice / porównania z innymi przypadkami

• XSS vs. bypass uwierzytelniania: XSS (CVE-2025-52436) bywa „lekceważony” jako web-bug, ale w appliance’ach bezpieczeństwa często stanowi krok do przejęcia funkcji administracyjnych. Z kolei bypass LDAP (CVE-2026-22153) uderza bezpośrednio w mechanizm kontroli dostępu – i to w kontekście VPN/FSSO, czyli strefy o wysokiej wartości dla atakujących.
• CVE-2025-68686 wyróżnia się tym, iż jest opisywane jako obejście poprawek związanych z zachowaniem napastników po wcześniejszych kompromitacjach – to bardziej „ciąg dalszy historii” niż klasyczna „nowa dziura”.

Podsumowanie / najważniejsze wnioski

• Fortinet załatał pakiet podatności w kilku produktach; dwie z nich mają wysoki priorytet, bo dotyczą komend/RCE bez uwierzytelnienia (FortiSandbox) oraz obejścia uwierzytelniania (FortiOS + LDAP).
• Dla zespołów SOC/NetSec najważniejsze jest szybkie ustalenie, czy organizacja używa SSL-VPN, Agentless VPN, FSSO i LDAP na urządzeniach Fortinet oraz czy te usługi są wystawione na zewnątrz.
• Nawet jeżeli vendor nie potwierdza aktywnej eksploatacji w momencie publikacji, praktyka pokazuje, iż „okno ryzyka” rośnie gwałtownie po nagłośnieniu i udostępnieniu analiz/PoC – dlatego patching i redukcja ekspozycji powinny być traktowane jako pilne.

Źródła / bibliografia

1. SecurityWeek – opis paczki poprawek i kontekst (11 lutego 2026). (SecurityWeek)
2. FortiGuard PSIRT – FG-IR-25-093 (CVE-2025-52436). (fortiguard.fortinet.com)
3. FortiGuard PSIRT – FG-IR-25-1052 (CVE-2026-22153). (fortiguard.fortinet.com)
4. FortiGuard PSIRT – FG-IR-25-934 (CVE-2025-68686). (fortiguard.fortinet.com)
5. NVD – karta podatności CVE-2026-22153 (szczegóły i klasyfikacja). (NVD)