文章总结： Fortinet于2026年5月13日披露两个CVSS9.1分高危漏洞CVE-2026-26083和CVE-2026-44277，分别影响FortiSandbox沙箱平台和FortiAuthenticator认证系统的未认证远程代码执行。漏洞可导致安全架构核心组件被攻陷，建议组织72小时内完成补丁部署，实施网络隔离和流量监控等临时缓解措施。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,威胁情报,解决方案,安全运营

整合分析 | Fortinet 双子星高危漏洞：未认证即可远程代码执行

奇安信 CERT

2026年5月13日 16:10 北京

在小说阅读器读本章

去阅读

执行摘要

Fortinet 于 2026 年 5 月 13 日发布安全公告，披露两个 CVSS 评分高达 9.1 的关键未认证远程代码执行漏洞，分别影响 FortiSandbox 沙箱分析平台和 FortiAuthenticator 身份认证系统，作为企业安全架构的两大核心组件，上述产品被攻陷将导致整个威胁检测和身份管控体系陷入瘫痪。

关键发现

• CVE-2026-26083

  （FortiSandbox）：缺失授权检查漏洞（CWE-862），影响 Web UI 所有部署变体。

• CVE-2026-44277

  （FortiAuthenticator）：不当访问控制漏洞（CWE-284），影响 6.5.x 至 8.0.x 全版本线。

• CISA KEV 目录已收录 24 个 Fortinet 漏洞被在野利用，其中 13 个与勒索软件攻击直接关联。

• Fortinet 设备历来是 APT 组织和经济利益驱动威胁行为体的首选目标，漏洞从披露到武器化的时间窗口极短。

虽然暂无在野利用报告，但鉴于历史攻击模式，建议组织 立即执行紧急修复，而非等待完整评估。

一、漏洞技术深度解析

1.1 CVE-2026-26083：FortiSandbox 缺失授权远程代码执行

CVSS 9.1未认证RCECWE-862FortiSandbox

| 属性 | 详情 | | — | — | | CVE 编号 | CVE-2026-26083 | | CVSSv3 评分 | 9.1（严重） | | CWE 分类 | CWE-862（缺失授权检查） | | 影响产品 | FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaS | | 受影响版本 | 5.0.x ≤ 5.0.1、4.4.x ≤ 4.4.8 | | 披露厂商 | Fortinet（公告编号 FG-IR-26-136） |

技术分析：该漏洞根因在于 FortiSandbox Web UI 组件未对特定 API 端点实施充分的授权验证机制。攻击者可通过构造恶意 HTTP 请求，绕过身份认证和会话验证，直接触发底层系统命令执行接口。

攻击向量特征：

• 可达性：

  网络可达即可触发，无需任何前置凭据。

• 攻击复杂度：

  低，无需复杂前置条件或用户交互。

• 权限要求：

  无需（匿名利用）。

• 影响范围：

  Confidentiality、Integrity、Availability 三大安全属性均受严重威胁。

FortiSandbox 的核心功能是对可疑文件、URL 和样本进行隔离动态分析。一旦该平台被攻陷，攻击者可：

1. 操控检测结果：

   伪造文件安全判定，绕过下游安全控制。

2. 横向移动：

   通过管理接口进入内网核心区域。

3. 持久化部署：

   在沙箱分析管道中植入后门，监控组织威胁情报能力。

受影响部署变体：本地设备（极高风险）、Cloud（高风险，多租户横向污染）、PaaS（高风险，API接口复杂度）。这是 FortiSandbox 产品线一个多月内第二轮关键补丁，此前 CVE-2026-21643 同样为认证绕过与 RCE 组合漏洞，CVSS 9.1。

1.2 CVE-2026-44277：FortiAuthenticator 不当访问控制

CVSS 9.1未认证RCECWE-284FortiAuthenticator

| 属性 | 详情 | | — | — | | CVE 编号 | CVE-2026-44277 | | CVSSv3 评分 | 9.1（严重） | | CWE 分类 | CWE-284（不当访问控制） | | 影响产品 | FortiAuthenticator | | 受影响版本 | 6.5.0 ~ 6.5.6、6.6.0 ~ 6.6.8、8.0.0 ~ 8.0.2 | | 修复版本 | 6.5.7、6.6.9、8.0.3 | | 披露厂商 | Fortinet（公告编号 FG-IR-26-128） |

技术分析：FortiAuthenticator 作为企业级身份与访问管理（IAM）解决方案，负责双因素认证（2FA）、单点登录（SSO）和 LDAP/RADIUS 联邦身份认证。该漏洞允许未经身份认证的攻击者通过构造恶意请求，在无需任何凭据的情况下执行系统级命令。

攻击影响评估：FortiAuthenticator 被攻陷的后果具有架构级破坏力——认证体系沦陷（所有依赖 2FA 的 Fortinet 设备失去保护）、横向移动（集中式认证服务器成为域管理跳板）、凭证窃取（SAML/OAuth 令牌可被伪造）、数据泄露（用户身份库可被导出）。FortiAuthenticator Cloud 不受此漏洞影响。

二、威胁行为体归因与攻击态势

2.1 Fortinet 漏洞威胁行为体利用历史

CISA KEV 目录收录24个Fortinet漏洞在野被主动利用。

其中13个漏洞与勒索软件攻击直接关联。

Fortinet漏洞从披露到野外活跃利用的平均时间窗口显著短于行业均值。

2.2 近期活跃利用案例

CVE-2026-21643（FortiClient EMS）：威胁情报公司 Defused 在 Fortinet 修复一个月后标记为在野活跃利用，用于端点枚举和横向移动。

CVE-2026-35616（FortiClient EMS 认证绕过）：2026年4月初，CISA 发布紧急指令，要求联邦机构在限定时间内修复，被归类为已主动利用漏洞，存在在野攻击活动。

2.3 APT 组织攻击模式分析（MITRE ATT&CK）

| ATT&CK 战术 | 关联技术 | 利用方式 | | — | — | — | | 初始访问 | T1190 | 直接利用未认证 RCE 漏洞 | | 执行 | T1059 | 触发系统命令执行 | | 持久化 | T1098 | 利用 FortiAuthenticator 创建后门账户 | | 防御规避 | T1070 | 篡改 FortiSandbox 检测日志 | | 横向移动 | T1021 | 通过 FortiGate VPN 扩大攻击范围 | | 收集 | T1005 | 导出身份认证凭证和配置数据 | | 命令与控制 | T1071 | 利用 Fortinet 管理协议建立后门通道 |

2.4 经济利益驱动威胁行为体（勒索软件）

根据CISA分析数据，13个Fortinet漏洞与勒索软件攻击存在关联。攻击者典型利用链：

漏洞利用 → FortiGate/FortiAuthenticator 突破 → 域控制器枚举 → 勒索软件部署 → 数据加密 + 数据外泄（双重勒索）

FortiSandbox 被攻陷后，攻击者可利用其分析能力绕过其他安全控制，对高价值目标实施精准打击。

三、武器化风险评估

3.1 快速武器化预判

| 特征 | 评估 | | — | — | | 未认证 RCE | 最高风险，无需前置条件 | | CVSS 9.1 | 突破性评分，漏洞利用收益极高 | | 产品定位 | 安全架构核心组件，被攻陷影响呈级联放大 | | 历史相似漏洞 | 多在披露后 2-4 周内出现 POC 或在野利用 |

利用窗口预估：结合 CVE-2026-21643 的时间线（修复后一个月即被标记活跃利用），本次漏洞在野利用极可能紧随 POC 公开后出现，不排除已有攻击者处于漏洞情报收集和测试阶段。

3.2 产品定位风险矩阵

FortiAuthenticator（认证体系中枢）

虽然影响面相对集中，但作为集中认证基础设施，被攻陷后可导致整个 Fortinet 安全生态瘫痪。优先级：极高

FortiSandbox（检测管道核心）

产品部署量相对有限，但被控后对组织威胁检测能力的破坏具有长期隐蔽性。优先级：高

四、缓解建议与修复方案

4.1 紧急修复路径

CVE-2026-44277（FortiAuthenticator）：

| 当前版本 | 修复版本 | 升级路径 | | — | — | — | | 6.5.0 ~ 6.5.6 | 6.5.7 | 直接升级 | | 6.6.0 ~ 6.6.8 | 6.6.9 | 直接升级 | | 8.0.0 ~ 8.0.2 | 8.0.3 | 直接升级 |

CVE-2026-26083（FortiSandbox）：

| 当前版本 | 修复版本 | 升级路径 | | — | — | — | | 5.0.x ≤ 5.0.1 | 5.0.2+ | 需确认兼容性 | | 4.4.x ≤ 4.4.8 | 4.4.9+ | 需确认兼容性 | | Cloud/PaaS | 自动更新 | 联系 Fortinet 支持 |

4.2 临时缓解措施（无法立即升级时）

1. 网络层隔离：

   将 FortiSandbox/FortiAuthenticator Web UI 限制于管理网段，禁止互联网直接访问。

2. 强访问控制：

   对管理接口实施额外 VPN + 证书双因子认证。

3. 流量监控：

   部署 WAF 规则阻断异常 HTTP 请求模式，特别关注非标准 HTTP 方法和编码。

4. 日志审计：

   对认证日志、API 调用日志实施实时监控，设置异常阈值告警。

4.3 威胁狩猎建议

| 狩猎目标 | 特征 | | — | — | | 异常 API 调用 | 来自非预期 IP 段的 Web UI API 请求 | | 认证异常 | 短时间内大量失败认证尝试，特别是针对 /api/ 端点 | | 横向移动 | FortiAuthenticator → FortiGate 的异常管理流量 | | 后门特征 | 非预期的计划任务、注册表项或 SSH 密钥 | | 数据外泄 | 异常的出站流量和大规模数据打包行为 |

五、结论

Fortinet 本次披露的两个 CVSS 9.1 分值漏洞，直接针对企业安全架构的核心组件。FortiAuthenticator 的认证体系中枢地位和 FortiSandbox 的威胁检测管道角色，使其成为高价值攻击目标。

鉴于：

• CISA KEV 目录中 24 个 Fortinet 漏洞已被在野利用；
• 近期 CVE-2026-21643 在修复后一个月即被标记为活跃利用；
• 未认证 RCE 漏洞的低利用门槛特性。

强烈建议组织将本次修复置于最高优先级，在 72 小时内完成关键资产的补丁部署。同时，对历史 Fortinet 设备漏洞（如 CVE-2026-35616）保持持续监控，防范供应链攻击和凭证重用。

六、参考链接

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaws-in-fortisandbox-and-fortiauthenticator/

https://www.probablypwned.com/fortinet-sandbox-and-authenticator-rce

https://latest-vulnerabilities.com/cve/cve-2026-44277

https://hackersradar.com/fortinet-fortisandbox-critical-vulnerability

https://securityonline.info/fortinet-critical-fortisandbox-and-fortiauthenticator

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《整合分析 | Fortinet 双子星高危漏洞：未认证即可远程代码执行》