Blog

CISA KEV inclui Fortinet FortiSandbox com execucao via HTTP sem login

Escrito por Luiz Claudio | 17/07/2026 11:35:53
Vulnerabilidade

CISA KEV lista Fortinet FortiSandbox, avalie risco

Duas falhas permitem comandos por HTTP sem login e exigem priorização imediata.

Navegacao

O que é o KEV da CISAComo as falhas funcionamComo identificar exposiçãoO que fazer agoraChecklist prático

Resumo rapido

A CISA mantém o catálogo KEV, uma lista de vulnerabilidades já exploradas em ataques reais. No trecho analisado há 1.647 registros e duas entradas recentes para Fortinet FortiSandbox. As falhas CVE-2026-39808 e CVE-2026-25089 permitem execução de comandos por requisições HTTP sem autenticação.

Neste artigo voce vai aprender:

  • O que significa uma vulnerabilidade entrar no catálogo KEV da CISA.
  • Quais produtos Fortinet aparecem no trecho fornecido.
  • Por que execução de comandos por HTTP sem login é um risco alto.
  • Quais sinais internos ajudam a priorizar a resposta.
  • Como organizar uma ação prática de mitigação e gestão de risco.

O que é o KEV da CISA

O catálogo Known Exploited Vulnerabilities, mantido pela CISA, reúne falhas que já foram exploradas no mundo real. A lógica é direta: em vez de tratar todas as correções com o mesmo peso, a empresa passa a priorizar aquilo que atacantes já estão usando ativamente.

No trecho fornecido, o catálogo mostra 1.647 vulnerabilidades. A própria CISA recomenda que organizações usem o KEV como entrada do processo de gestão de vulnerabilidades, funcionando como critério objetivo para decidir o que corrigir primeiro.

Como as falhas funcionam

As duas entradas em destaque atingem o Fortinet FortiSandbox. A CVE-2026-39808 descreve uma injeção de comandos no sistema operacional. A CVE-2026-25089 afeta FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS, também permitindo comandos não autorizados.

Traduzindo para o dia a dia: um invasor sem login pode enviar requisições HTTP preparadas para tentar executar comandos no ambiente afetado. O CWE associado é o CWE-78, categoria ligada à execução indevida de comandos no sistema operacional.

Como identificar exposição

O primeiro passo é confirmar se a empresa utiliza algum dos produtos citados. Em seguida, é preciso verificar se existe exposição pela internet e se há serviços HTTP acessíveis de fora da rede.

Sinais práticos para revisar:

  • Instâncias de Fortinet FortiSandbox acessíveis por endereços públicos.
  • Registros de requisições HTTP incomuns ou repetidas contra o produto.
  • Alterações inesperadas em configurações, contas ou integrações.
  • Ativos em nuvem relacionados a FortiSandbox Cloud ou FortiSandbox PaaS.
  • Ausência de evidência clara de mitigação aplicada.

O que fazer agora

A ação indicada no trecho é aplicar as mitigações conforme as instruções do fornecedor. A CISA também orienta avaliar a exposição de cada ativo e seguir as diretrizes de priorização baseadas em risco da BOD 26-04.

Na prática, essas entradas merecem tratamento prioritário justamente por já constarem no KEV. A data de inclusão é 16/07/2026 e a data limite exibida é 19/07/2026. Quando a mitigação não estiver disponível, o uso do produto deve ser reavaliado ou interrompido, conforme o caso.

Checklist prático

  1. Inventarie todos os ambientes com Fortinet FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS.
  2. Verifique exposição à internet, portas HTTP acessíveis e logs de acesso recentes.
  3. Aplique as mitigações do fornecedor, registre evidências e acompanhe novas entradas no KEV.

Perguntas frequentes

O que significa estar no catálogo KEV?

Significa que a vulnerabilidade é conhecida por ter sido explorada em ataques reais, segundo o catálogo mantido pela CISA.

Há confirmação de uso em ransomware?

No trecho fornecido, o campo sobre uso em campanhas de ransomware aparece como desconhecido para as duas falhas do Fortinet FortiSandbox.

Quem deve agir primeiro?

Empresas que usam Fortinet FortiSandbox exposto à internet devem priorizar a verificação e a mitigação, especialmente quando existe acesso HTTP público.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua organização a transformar alertas do CISA KEV em ações concretas: inventário, priorização, validação de exposição e resposta com evidências.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
CISA Known Exploited Vulnerabilities Catalog