포티넷, 포티샌드박스·포티인증기에서 치명적인 원격 코드 실행 취약점 경고

출처: Bleeping Computer

FortiSandbox 및 FortiAuthenticator의 심각한 취약점

Fortinet은 패치되지 않은 시스템에서 공격자가 명령이나 임의 코드를 실행할 수 있는 두 가지 심각한 취약점을 해결하기 위해 보안 업데이트를 발표했습니다.

CVE‑2026‑44277 – FortiAuthenticator

• FortiAuthenticator Identity and Access Management (IAM) 솔루션에 영향을 미칩니다.
• FortiAuthenticator 6.5.7, 6.6.9, 8.0.3 버전에서 패치되었습니다.
• 부적절한 접근 제어 취약점(CWE‑284)으로, 인증되지 않은 공격자가 조작된 요청을 통해 허가되지 않은 코드나 명령을 실행할 수 있습니다.
• FortiAuthenticator Cloud(이전 FortiTrust Identity)는 영향을 받지 않습니다.

“FortiAuthenticator의 부적절한 접근 제어 취약점 [CWE‑284]은 인증되지 않은 공격자가 조작된 요청을 통해 허가되지 않은 코드나 명령을 실행할 수 있게 할 수 있습니다.” – Fortinet advisory [link].

CVE‑2026‑26083 – FortiSandbox

• FortiSandbox 시스템(포함: FortiSandbox Cloud 및 FortiSandbox PaaS WEB UI)에서 원격 코드 실행을 유발할 수 있는 인증 누락 취약점입니다.
• 인증 누락(CWE‑862)으로 분류됩니다.
• 인증되지 않은 공격자가 HTTP 요청을 통해 허가되지 않은 코드나 명령을 실행할 수 있습니다.

“FortiSandbox, FortiSandbox Cloud 및 FortiSandbox PaaS WEB UI의 인증 누락 취약점 [CWE‑862]은 인증되지 않은 공격자가 HTTP 요청을 통해 허가되지 않은 코드나 명령을 실행할 수 있게 할 수 있습니다.” – Fortinet advisory.

상황 및 관련 악용 사례

• Fortinet은 현재 이 두 취약점이 실제로 악용되고 있다고 명시하고 있지는 않지만, Fortinet 제품의 취약점은 랜섬웨어 및 사이버 스파이 활동에서 자주 활용됩니다.
• 최근 사례:
  • FortiClient Enterprise Management Server(EMS)에서 CVE‑2026‑21643이 공개된 지 한 달 만에 활발히 악용되는 것으로 확인되었습니다.
  • CVE‑2026‑35616(FortiClient EMS 인증 우회) 은 4월 초 미국 사이버보안 및 인프라 보안청(CISA)의 조치 대상이 되었습니다.
• CISA는 최근 몇 년간 24개의 Fortinet 취약점을 활발히 악용되는 보안 결함 카탈로그에 추가했으며, 그 중 13건이 랜섬웨어 공격에 이용되었습니다.

참고 자료

• CVE‑2026‑44277에 대한 Fortinet advisory:
• BleepingComputer – Fortinet VPN 장치에 대한 랜섬웨어 공격:
• BleepingComputer – 중국 해커가 네덜란드 군사 네트워크에 침투:
• CVE‑2026‑21643에 대한 NVD 항목:
• BleepingComputer – FortiClient EMS 취약점 악용 사례:
• CISA의 FortiClient EMS 패치 명령:
• CISA Known Exploited Vulnerabilities Catalog (Fortinet 검색):