**Fortinet** は、**FortiSandbox** および **FortiAuthenticator** の 2 つの重大な脆弱性に対処するためのセキュリティアップデートをリリースしました。これらの脆弱性により、攻撃者はパッチが適用されていないシステム上でコマンドまたは任意のコードを実行できるようになる可能性があります。 ### FortiAuthenticator の不適切なアクセス制御 最初の脆弱性である **CVE-2026-44277** は、同社の **FortiAuthenticator** ID およびアクセス管理 (IAM) ソリューションに影響を与え、**FortiAuthenticator** バージョン 6.5.7、6.6.9、および 8.0.3 でパッチが適用されています。 **Fortinet** は火曜日のアドバイザリで、「**FortiAuthenticator** における不適切なアクセス制御の脆弱性 [CWE-284] により、認証されていない攻撃者が細工されたリクエストを介して不正なコードまたはコマンドを実行できる可能性があります」と述べています。 同社は、**Fortinet** がホストおよび管理する ID およびアクセス管理サービス (IDaaS) クラウドサービスである **FortiAuthenticator** Cloud (旧 **FortiTrust Identity**) は、この問題の影響を受けないことを明らかにしました。 ### FortiSandbox の認証漏れ **Fortinet** はまた、脆弱な **FortiSandbox** システムでリモートコード実行を達成するために悪用される可能性のある認証漏れ (**CVE-2026-26083**) にも対処しました。これらのシステムは、zero-day 脅威を含む悪意のあるアクティビティから保護するように設計されています。 アドバイザリによると、「**FortiSandbox**、**FortiSandbox** Cloud、および **FortiSandbox** PaaS WEB UI における認証漏れの脆弱性 [CWE-862] により、認証されていない攻撃者が HTTP リクエストを介して不正なコードまたはコマンドを実行できる可能性があります」と述べられています。 ### Fortinet の脆弱性：頻繁な標的 **Fortinet** はこれらの特定の欠陥が積極的に悪用されていることを示唆していませんが、**Fortinet** の脆弱性は、しばしば zero-day として、ransomware およびサイバー諜報攻撃で一般的に悪用されています。 例えば、2 月には **Fortinet** は **FortiClient** Enterprise Management Server (EMS) プラットフォームの別の重大な脆弱性 (**CVE-2026-21643**) に対処しました。脅威インテリジェンス企業である **Defused** は、1 か月後にこの脆弱性が積極的に悪用されていると報告しました。 最近、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (**CISA**) は、4 月初旬に連邦機関に対し、積極的に悪用されている認証バイパスの欠陥 (**CVE-2026-35616**) に対して **FortiClient** Enterprise Management Server (EMS) インスタンスにパッチを適用するよう命じました。 **CISA** は近年、積極的に悪用されているセキュリティ上の欠陥のカタログに 24 件の **Fortinet** 脆弱性を追加しており、そのうち 13 件は ransomware 攻撃で悪用されています。