Ausgerechnet die Appliance, die Schadsoftware entlarven soll, ist zum Einfallstor geworden. Die US-Cyberbehörde CISA hat zwei aktiv ausgenutzte Lücken in Fortinets FortiSandbox in ihren Katalog bekannter Schwachstellen aufgenommen und Bundesbehörden eine Frist bis Sonntag gesetzt. Für Unternehmen im DACH-Raum ist das mehr als eine amerikanische Anordnung.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die FortiSandbox-Lücke bedroht ein Gerät, das eigentlich für Sicherheit sorgen soll: Die Analyse-Appliance prüft verdächtige Dateien, bevor diese ins Netz gelangen. Seit dem Wochenende des 14. Juni greifen Angreifer die Schwachstellen aktiv an, oft schon, bevor Administratoren vom Patch erfahren hatten.

Das Wichtigste in Kürze

  • Zwei kritische FortiSandbox-Schwachstellen (CVE-2026-39808 und CVE-2026-25089, je CVSS 9,1) erlauben unauthentifizierte Befehlsausführung aus der Ferne.
  • Die CISA hat beide am 16. Juli als aktiv ausgenutzt gelistet und verpflichtet US-Behörden, bis zum 19. Juli zu patchen.
  • Die betroffene Appliance ist ein Kernbaustein vieler Sicherheits-Stacks: Ein gekapertes Gerät kann Bedrohungsurteile manipulieren.
  • Unter dem NIS2-Umsetzungsgesetz kann ein solcher Vorfall in Deutschland melde- und bußgeldpflichtig werden.

Was macht die FortiSandbox-Lücke so gefährlich?

Metalltür, einen Spalt breit geöffnet, mit einem Vorhängeschloss daran. Davor liegt eine Fußmatte
Nicht angemeldete Angreifer können über präparierte HTTP-Anfragen eigene Befehle auf der Appliance ausführen

Beide Lücken erlauben einem nicht angemeldeten Angreifer, über präparierte HTTP-Anfragen eigene Befehle auf der Appliance auszuführen, ohne Zutun eines Nutzers und mit geringem Aufwand.

Die stille Vorgeschichte wiegt schwer: Fortinet hatte CVE-2026-39808 bereits im April und CVE-2026-25089 im Juni gepatcht, ohne die Lücken als ausgenutzt zu kennzeichnen[2]. Erst nachdem ein Threat-Intelligence-Anbieter die Angriffe Mitte Juni öffentlich gemacht hatte, hat die CISA nachgezogen.

Ihre volle Wucht entfalten die Befehlsinjektionen im Verbund mit einer dritten Schwachstelle, einem Authentifizierungs-Bypass. Verkettet ergeben sie Root-Rechte auf dem Gerät. Eine versteckte Hintertür in Netzwerk-Hardware ist dabei kein Einzelfall, wie zuletzt der Fund einer Authentifizierungs-Hintertür in Tenda-Routern gezeigt hat.

Warum trifft ein kompromittierter Wächter das ganze Netzwerk?

FortiSandbox fällt die Urteile, auf die sich Firewalls und E-Mail-Gateways verlassen. Angreifer mit Kontrolle über die Appliance können Schadsoftware als harmlos deklarieren und die nachgelagerte Abwehr blind schalten, ohne Alarm auszulösen.

Damit sitzt das Gerät an einer Vertrauensposition in der Netzarchitektur. Ein manipuliertes Urteil verwandelt das Schutzsystem in einen Komplizen, der die eigene Verteidigung aushebelt.

Genau deshalb drängt jede Stunde. Wie schon beim SAP-Patchday mit einer 9,9-Lücke oder der schrumpfenden Patch-Frist bei Anthropics Claude Mythos gilt: Bei kritischen Kernkomponenten schließt sich das Zeitfenster zwischen Offenlegung und Massenangriff rasant.

Eine Appliance, die Schadsoftware entlarven soll, wird zur bequemsten Tür ins Netz. Genau solche Sicherheitsprodukte gehören ganz nach oben auf die Patch-Liste, nicht ans Ende.

— Markus Seyfferth, Chefredakteur Dr. Web
FortiSandbox unter Beschuss: die Zahlen zum Fall

Zwei aktiv ausgenutzte Schwachstellen, eine knappe Frist und ein Muster, das den ganzen Perimeter betrifft.

CVSS 9,1
Schweregrad beider Lücken, eingestuft als kritisch
2
aktiv ausgenutzte FortiSandbox-Lücken im CISA-Katalog
19.07.
Patchfrist der CISA für US-Bundesbehörden
58 %
der Ransomware-Schäden liefen über Perimeter-Geräte wie VPNs und Firewalls (Coalition 2025)
29.500
Unternehmen in Deutschland unterliegen seit Dezember 2025 der NIS2-Pflicht

Was Unternehmen im DACH-Raum jetzt tun sollten

Betroffene FortiSandbox-Instanzen sofort auf Version 4.4.9 oder 5.0.6 aktualisieren, das Management-Interface aus dem offenen Internet nehmen und prüfen, ob das Gerät seit Mitte Juni erreichbar war.

Der Fall reiht sich in ein Muster: 26 Fortinet-Schwachstellen stehen inzwischen im CISA-Katalog, 13 davon mit Bezug zu Ransomware[1]. Laut dem Cyber Threat Index des Versicherers Coalition sind 58 Prozent der Ransomware-Schäden auf kompromittierte Perimeter-Geräte wie VPNs und Firewalls zurückgegangen.

Für rund 29.500 deutsche Unternehmen ist das seit Dezember 2025 auch eine Rechtsfrage. Das NIS2-Umsetzungsgesetz verlangt ein aktives Schwachstellen- und Risikomanagement; ein ausgenutztes, ungepatchtes Sicherheitsgerät kann als erheblicher Sicherheitsvorfall gelten, den Betroffene binnen 24 Stunden ans BSI melden müssen.

Auf ungepatchten Systemen genügt eine Kompromittierungsanalyse allein nicht mehr, weil die Bedrohungsurteile selbst manipuliert sein könnten. Perimeter-Appliances gehören ab sofort ganz oben auf die Patch- und Monitoring-Liste, sonst wird aus dem Wächter der nächste Türöffner, wie im Fall der Erpressergruppe UnSafe.

Quellen

[1] CISA: Known Exploited Vulnerabilities Catalog

[2] Fortinet FortiGuard Labs: PSIRT Advisories

Mehr Newshunger?

4,3 13 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?