포티넷 포티샌드박스 취약점, 공격에 활용
해커들은 포트니의 포티샌드 악성 코드 탐지 플랫폼에서 여러 개별Critical 수준의 보안 취약점들을 exploitation하고 있는 것으로 나타났으며, 이는 위협 인텔리전스 회사인 Defused에 따르면이다.
포트니가 4월 14일에 이 세 개의 Critical 수준의 보안 취약점(CVE-2026-39813, CVE-2026-39808, 그리고 CVE-2026-25089)에 대해 보안 업데이트를 출시했습니다.
이 취약점들은 인증되지 않은 위협 행위자가 원격으로 권한을 확장하고 무단 코드를 실행할 수 있도록 허용하며, 이는 사용자 상호작용 없이 저복잡도 명령 주입 공격으로 가능합니다.
이 문제를 해결하고 도래하는 공격을 차단하려면 관리자는 영향을 받은 배포판을 최신 출시된 버전으로 업그레이드해야 합니다.
“우리는 지난 24시간 동안 포트니 포티샌드 취약점들의 여러 개를 exploitation하고 있는 것을 관찰하고 있으며, 여기에는 CVE-2026-39813(이전 기록된 exploitation 없음), [CVE-2026-39808], [CVE-2026-25089] (고장난 exploit, 가능성이 높음)이 포함됩니다,” Defused 경고 월요일에 말했습니다. “우리의 연구에 따르면 CVE-2026-25089에 대한 작동 가능한 exploit은 아직 공개되지 않았습니다.”
4월에 포트니는 CVE-2025-61624 라는 중간 severity 경로 탐색 취약점도 실제 환경에서 exploitation되고 있다고 지적했으며, 이는 인증된 공격자가 권한을 확장할 수 있게 합니다.
하지만 성공적인 exploitation은 대상 시스템에 고위 권한이 필요하므로, 이는 다른 보안 문제와 연계되어 있었을 가능성이 높다는 것을 의미합니다.
BleepingComputer은 포트니에 대해 실제 exploitation이 진행 중이라는 보고를 확인하도록 연락했으나, 즉시 답변을 받지 못했습니다.
포트니의 보안 취약점들은 랜섬웨어 공격 (보통 0day 버그로) 및 사이버 스파이 활동 캠페인에서 자주 exploitation됩니다.
최근에 포트니는 포트니 포티샌드에서 또 다른 Critical 취약점(CVE-2026-26083)을 해결하기 위한 보안 업데이트를 출시했으며, 이는 공격자가 패치되지 않은 시스템에서 원격 코드 실행을 수행할 수 있게 합니다.
2월에는 포트니가 FortiClient Enterprise Management Server (EMS) 플랫폼의 Critical SQL injection 취약점(CVE-2026-21643)을 패치했으며, 이 문제는 일월 후 Defused에 의해 [활발히 악용되고 있다]로 표시되었습니다.
미국 사이버보안 및 인프라 보안청(CISA)은 4월 13일에 연방 기관들에게 CVE-2026-21643 취약점에 대비해 FortiClient EMS 인스턴스를 3일 이내에 보호하라고 명령했습니다.
전체적으로 CISA는 최근 몇 년간 악용이 발생한 26 포트니 취약점을 추적하고 있으며, 이 중 13개는 랜섬웨어 가담자에 의해 악용되었습니다.
보안 팀은 성공적인 공격의 54%를 로깅하고, 단지 14%만 알림으로 설정합니다. 나머지는 여러분의 환경에서 눈에 띄지 않고 진행합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 귀하의 SIEM과 EDR 규칙을 테스트하여 위협이 감지되지 않도록 방지한다는 내용을 보여줍니다.