Fortinet ha corretto tre vulnerabilità critiche in FortiSandbox – CVE‑2026‑39813, 39808 e 25089 – ma sono già stati registrati tentativi di sfruttamento attivo, alcuni realizzati con l’aiuto dell’intelligenza artificiale. Se la tua azienda utilizza FortiSandbox, è fondamentale agire subito.
Cosa è successo
Nei giorni scorsi, la società di threat intelligence Defused ha osservato attacchi reali contro tre falle in FortiSandbox: una di tipo path traversal (CVE‑2026‑39813) e due di tipo command injection (CVE‑2026‑39808 e CVE‑2026‑25089), quest’ultima nella UI web, nella versione cloud e PaaS ([helpnetsecurity.com](https://www.helpnetsecurity.com/2026/06/16/fortisandbox-vulnerabilities-cve-2026-39813-cve-2026-39808-cve-2026-25089/?utm_source=openai)).
Le vulnerabilità CVE‑2026‑39813 e CVE‑2026‑39808 erano già state corrette da Fortinet in aprile 2026; la CVE‑2026‑25089 è stata patchata appena la scorsa settimana ([helpnetsecurity.com](https://www.helpnetsecurity.com/2026/06/16/fortisandbox-vulnerabilities-cve-2026-39813-cve-2026-39808-cve-2026-25089/?utm_source=openai)).
In almeno un caso, l’exploit sfruttato sembra essere stato generato da un’intelligenza artificiale, sebbene fosse difettoso e non ancora pienamente operativo ([thehackernews.com](https://thehackernews.com/2026/06/attackers-exploit-three-fortinet.html?utm_source=openai)).
Perché è importante
FortiSandbox è una piattaforma usata per analizzare malware e guidare risposte automatizzate nei firewall, nei sistemi email e endpoint Fortinet. Se compromessa, un attaccante può bypassare queste difese, eseguire comandi non autorizzati e muoversi lateralmente nella rete aziendale ([helpnetsecurity.com](https://www.helpnetsecurity.com/2026/04/16/fortinet-fortisandbox-vulnerabilities-cve-2026-39813-cve-2026-39808/?utm_source=openai)).
Il fatto che le vulnerabilità siano sfruttabili senza autenticazione e che gli attacchi siano già in corso, anche con exploit generati da IA, riduce drasticamente il tempo per rispondere e aumenta il rischio per le PMI e gli enti che utilizzano questi sistemi ([aiweekly.co](https://aiweekly.co/alerts/fortinet-fortisandbox-three-cvss-91-bugs-exploited?utm_source=openai)).
Cosa fare adesso
- Verifica se utilizzi FortiSandbox (inclusi versioni Cloud o PaaS) e identifica la versione in uso.
- Applica immediatamente gli aggiornamenti ufficiali: per FortiSandbox 5.0 passa alla 5.0.6, per la 4.4 passa alla 4.4.9 o superiore ([howtofix.guide](https://howtofix.guide/fortisandbox-cve-2026-25089-rce-bugs/?utm_source=openai)).
- Restringi l’accesso all’interfaccia web e API solo ai tuoi indirizzi interni o VPN, minimizzando l’esposizione verso Internet.
- Controlla i log recenti alla ricerca di richieste HTTP sospette, attività “start VNC”, nuovi utenti o processi anomali avviati via web/API.
- Valuta l’uso di un Web Application Firewall (WAF) temporaneamente per bloccare input malevoli mentre completi l’aggiornamento ([cvebrief.com](https://cvebrief.com/cve/cve-2026-25089/?utm_source=openai)).
Come ti aiuta Evo Sistemi
Da Evo Sistemi, possiamo supportarti con servizi mirati per proteggere la tua attività:
- Sicurezza informatica: audit, monitoraggio e difesa proattiva.
- Realizzazione siti web: strutture tecniche solide e sicure.
- Compliance e GDPR: valutazione impatti e corretto trattamento delle informazioni.
Per una verifica rapida e concrete misure di protezione, contattaci su Evo Sistemi.
Domande frequenti
Che cos’è FortiSandbox e perché è importante?
FortiSandbox è una piattaforma che analizza malware in modo isolato e supporta altri dispositivi Fortinet nelle decisioni di blocco automatico. Se compromessa, può diventare un punto cieco nella tua difesa.
Queste vulnerabilità sono già state sfruttate?
Sì, sono stati osservati attacchi in corso. In particolare, due falle patchate in aprile (39813, 39808) e la più recente 25089 sono state oggetto di tentativi di sfruttamento, anche con exploit generati da IA.
Come posso sapere se sono vulnerabile?
Verifica la versione di FortiSandbox in uso e confrontala con le versioni corrette (5.0.6 o 4.4.9+). Inoltre, isola la UI web, controlla log per accessi sospetti e applica i fix ufficiali.
Fonte: SecLog (citando articoli The Hacker News e Arctic Wolf Labs).