CISA ordena correção de falhas críticas no Fortinet FortiSandbox
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais priorizem a correção de duas vulnerabilidades críticas no Fortinet FortiSandbox, identificadas como CVE-2026-39808 e CVE-2026-25089. Essas falhas, que permitem a execução remota de código não autorizado por atacantes não autenticados, foram corrigidas pela Fortinet em abril e junho de 2023. Apesar de a empresa não ter confirmado o uso dessas vulnerabilidades em ataques, a empresa de inteligência Defused relatou que elas estão sendo exploradas ativamente. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas e, conforme a Diretiva Operacional Vinculativa (BOD) 26-04, as agências federais dos EUA devem aplicar os patches até 19 de julho. Fortinet já enfrentou problemas semelhantes anteriormente, com outras vulnerabilidades críticas sendo exploradas em campanhas de espionagem cibernética e ataques de ransomware. A situação exige atenção imediata dos administradores de sistemas para evitar possíveis compromissos de segurança.
