Ausgerechnet die Appliance, die Schadsoftware entlarven soll, ist zum Einfallstor geworden. Die US-Cyberbehörde CISA hat zwei aktiv ausgenutzte Lücken in Fortinets FortiSandbox in ihren Katalog bekannter Schwachstellen aufgenommen und Bundesbehörden eine Frist bis Sonntag gesetzt. Für Unternehmen im DACH-Raum ist das mehr als eine amerikanische Anordnung.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie FortiSandbox-Lücke bedroht ein Gerät, das eigentlich für Sicherheit sorgen soll: Die Analyse-Appliance prüft verdächtige Dateien, bevor diese ins Netz gelangen. Seit dem Wochenende des 14. Juni greifen Angreifer die Schwachstellen aktiv an, oft schon, bevor Administratoren vom Patch erfahren hatten.
Das Wichtigste in Kürze
- Zwei kritische FortiSandbox-Schwachstellen (CVE-2026-39808 und CVE-2026-25089, je CVSS 9,1) erlauben unauthentifizierte Befehlsausführung aus der Ferne.
- Die CISA hat beide am 16. Juli als aktiv ausgenutzt gelistet und verpflichtet US-Behörden, bis zum 19. Juli zu patchen.
- Die betroffene Appliance ist ein Kernbaustein vieler Sicherheits-Stacks: Ein gekapertes Gerät kann Bedrohungsurteile manipulieren.
- Unter dem NIS2-Umsetzungsgesetz kann ein solcher Vorfall in Deutschland melde- und bußgeldpflichtig werden.
Was macht die FortiSandbox-Lücke so gefährlich?

Beide Lücken erlauben einem nicht angemeldeten Angreifer, über präparierte HTTP-Anfragen eigene Befehle auf der Appliance auszuführen, ohne Zutun eines Nutzers und mit geringem Aufwand.
Die stille Vorgeschichte wiegt schwer: Fortinet hatte CVE-2026-39808 bereits im April und CVE-2026-25089 im Juni gepatcht, ohne die Lücken als ausgenutzt zu kennzeichnen[2]. Erst nachdem ein Threat-Intelligence-Anbieter die Angriffe Mitte Juni öffentlich gemacht hatte, hat die CISA nachgezogen.
Ihre volle Wucht entfalten die Befehlsinjektionen im Verbund mit einer dritten Schwachstelle, einem Authentifizierungs-Bypass. Verkettet ergeben sie Root-Rechte auf dem Gerät. Eine versteckte Hintertür in Netzwerk-Hardware ist dabei kein Einzelfall, wie zuletzt der Fund einer Authentifizierungs-Hintertür in Tenda-Routern gezeigt hat.
Warum trifft ein kompromittierter Wächter das ganze Netzwerk?
FortiSandbox fällt die Urteile, auf die sich Firewalls und E-Mail-Gateways verlassen. Angreifer mit Kontrolle über die Appliance können Schadsoftware als harmlos deklarieren und die nachgelagerte Abwehr blind schalten, ohne Alarm auszulösen.
Damit sitzt das Gerät an einer Vertrauensposition in der Netzarchitektur. Ein manipuliertes Urteil verwandelt das Schutzsystem in einen Komplizen, der die eigene Verteidigung aushebelt.
Genau deshalb drängt jede Stunde. Wie schon beim SAP-Patchday mit einer 9,9-Lücke oder der schrumpfenden Patch-Frist bei Anthropics Claude Mythos gilt: Bei kritischen Kernkomponenten schließt sich das Zeitfenster zwischen Offenlegung und Massenangriff rasant.
Eine Appliance, die Schadsoftware entlarven soll, wird zur bequemsten Tür ins Netz. Genau solche Sicherheitsprodukte gehören ganz nach oben auf die Patch-Liste, nicht ans Ende.
— Markus Seyfferth, Chefredakteur Dr. Web
Zwei aktiv ausgenutzte Schwachstellen, eine knappe Frist und ein Muster, das den ganzen Perimeter betrifft.
Was Unternehmen im DACH-Raum jetzt tun sollten
Betroffene FortiSandbox-Instanzen sofort auf Version 4.4.9 oder 5.0.6 aktualisieren, das Management-Interface aus dem offenen Internet nehmen und prüfen, ob das Gerät seit Mitte Juni erreichbar war.
Der Fall reiht sich in ein Muster: 26 Fortinet-Schwachstellen stehen inzwischen im CISA-Katalog, 13 davon mit Bezug zu Ransomware[1]. Laut dem Cyber Threat Index des Versicherers Coalition sind 58 Prozent der Ransomware-Schäden auf kompromittierte Perimeter-Geräte wie VPNs und Firewalls zurückgegangen.
Für rund 29.500 deutsche Unternehmen ist das seit Dezember 2025 auch eine Rechtsfrage. Das NIS2-Umsetzungsgesetz verlangt ein aktives Schwachstellen- und Risikomanagement; ein ausgenutztes, ungepatchtes Sicherheitsgerät kann als erheblicher Sicherheitsvorfall gelten, den Betroffene binnen 24 Stunden ans BSI melden müssen.
Auf ungepatchten Systemen genügt eine Kompromittierungsanalyse allein nicht mehr, weil die Bedrohungsurteile selbst manipuliert sein könnten. Perimeter-Appliances gehören ab sofort ganz oben auf die Patch- und Monitoring-Liste, sonst wird aus dem Wächter der nächste Türöffner, wie im Fall der Erpressergruppe UnSafe.
Quellen
[1] CISA: Known Exploited Vulnerabilities Catalog ↩
[2] Fortinet FortiGuard Labs: PSIRT Advisories ↩
Mehr Newshunger?
- 570 Sicherheitslücken an einem Tag: KI treibt Microsofts Patchday auf Rekordniveau
- SAP-Patchday im Juli: Eine 9,9-Lücke trifft den Kern jedes ABAP-Systems
- Tenda-Firmware enthält in mehreren Versionen eine versteckte Authentifizierungs-Hintertür
- Cursor-Zero-Day: Wenn nur noch die volle Offenlegung schützt
- Kein einziger Bug: Wie ShinyHunters ein Jahr lang Salesforce-Daten stahl
- Erst zwei Opfer, dann die Deutsche Bank: Was hinter der Erpressergruppe UnSafe steckt