Según los investigadores, los atacantes están explotando activamente un par de vulnerabilidades críticas de Fortinet en FortiSandbox, un producto de seguridad que los clientes utilizan para identificar y defenderse contra amenazas emergentes en su red.

Fortinet reveló y solucionó las vulnerabilidades. CVE-2026-39808 y CVE-2026-39813 – en abril, pero no ha confirmado la explotación. La empresa no respondió a una solicitud de comentarios.

VulnCheck dijo que observó por primera vez la explotación de CVE-2026-39808, una vulnerabilidad de inyección de comandos del sistema operativo, el 9 de junio. Los investigadores de la firma de inteligencia de amenazas Defused confirmaron la explotación del mismo defecto el 11 de junio y observaron CVE-2026-39813, una vulnerabilidad de recorrido de ruta, el 15 de junio.

Simo Kohonen, fundador y director ejecutivo de Defused, dijo que la empresa observó 49 eventos de explotación de 11 IP distintas contra el par de defectos durante un período de seis días. Los atacantes también están intentando explotar una tercera vulnerabilidad de FortiSandox, CVE-2026-25089que Fortinet reveló y parchó el 9 de junio, añadió.

Los investigadores no han determinado cuántos clientes de Fortinet se ven afectados directamente, pero hasta ahora la actividad posterior a la explotación, que incluye verificación y reconocimiento, generalmente precede a una ola más intensa de ataques, dijo Kohonen.

Defused rastreó la actividad maliciosa hasta 13 fuentes originarias de nueve países, incluidos China, Corea del Sur, Taiwán, India, Singapur, Alemania, Países Bajos, Canadá y Bulgaria.

«La difusión y las pruebas de concepto de acciones apuntan a múltiples operadores independientes en infraestructura de productos básicos, no a una sola campaña», dijo Kohonen a CyberScoop.

Los investigadores dijeron que no han observado evidencia de que los atacantes estén encadenando las vulnerabilidades, pero los exploits funcionan entre sí al eludir la autenticación, escalar privilegios y permitir a los atacantes ejecutar comandos arbitrarios.

Los exploits, que varias empresas de investigación han observado en honeypots, marcan las primeras etapas de otra posible ola de ataques dirigidos a clientes de Fortinet.

La Agencia de Seguridad de Infraestructura y Ciberseguridad ha señalado 26 vulnerabilidades de Fortinet en su catálogo de vulnerabilidades explotadas conocidas desde 2021. Hasta el miércoles, la agencia no ha añadido ninguno de los nuevos defectos de Fortinet a su catálogo.

Los investigadores advierten que las vulnerabilidades afectan a un dispositivo importante en la arquitectura de seguridad empresarial.

«Los dispositivos Sandbox suelen ser sistemas confiables que se utilizan para analizar contenido sospechoso y admitir flujos de trabajo de detección más amplios, lo que significa que un compromiso podría proporcionar a los atacantes un acceso elevado dentro de un entorno sensible a la seguridad», dijo Chris Doyle, jefe de seguridad y cumplimiento de JupiterOne, en un correo electrónico.

Kohonen agregó: «FortiSandbox es de gran valor porque ingiere y se conecta a otros dispositivos Fortinet».