CVE-2026-25089 : RCE non authentifiée dans FortiSandbox

Ce qui s'est passé

Le 9 juin 2026, Fortinet a publié une advisory de sécurité critique (référence interne FG-IR-26-141) révélant l'existence de CVE-2026-25089, une vulnérabilité d'injection de commandes OS dans l'interface web de FortiSandbox. Avec un score CVSSv3 de 9,8 sur 10, cette faille se classe dans la catégorie la plus haute de gravité. Elle permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le système d'exploitation de l'appliance en envoyant des requêtes HTTP spécialement construites vers le composant GUI de FortiSandbox.

FortiSandbox est une solution d'analyse dynamique des fichiers suspects déployée dans les architectures de sécurité avancées pour détecter les malwares inconnus, les zero-days et les menaces persistantes avancées. Elle fonctionne en exécutant les fichiers suspects dans des environnements isolés pour observer leur comportement réel. En tant que composant central de la chaîne de détection, FortiSandbox est généralement positionné en coupure sur les flux de messagerie, web et de transfert de fichiers de l'entreprise. La compromission d'un tel équipement permettrait non seulement de neutraliser une couche de défense critique, mais aussi d'accéder à l'ensemble des fichiers transitant par l'infrastructure et de manipuler silencieusement les résultats d'analyse pour masquer des attaques en cours.

La vulnérabilité CVE-2026-25089 est classée CWE-78, soit une neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS — ce que l'industrie désigne communément sous le terme d'injection de commandes. Le mécanisme d'exploitation consiste à injecter des caractères spéciaux ou des séquences de commandes shell dans les paramètres HTTP traités par l'interface web de FortiSandbox, sans que ces entrées soient correctement validées ou échappées avant leur passage à l'interpréteur de commandes système. L'absence de toute authentification préalable requise — qualifiée d'unauthenticated dans l'advisory — représente le facteur aggravant majeur, puisqu'elle place la surface d'attaque sur tous les ports exposant l'interface d'administration, potentiellement accessibles depuis Internet si la configuration réseau n'est pas suffisamment restrictive.

Les versions affectées couvrent un spectre large : FortiSandbox 5.0.0 à 5.0.5, FortiSandbox 4.4.0 à 4.4.8, la totalité des versions FortiSandbox 4.2, ainsi que les variantes FortiSandbox Cloud 5.0.4 à 5.0.5 et FortiSandbox PaaS 5.0.4 à 5.0.5. Cette étendue reflète que la faille se situe dans un composant partagé entre plusieurs branches majeures du produit et non dans une fonctionnalité introduite récemment. La découverte est attribuée à Adham El Karn, membre de l'équipe Fortinet Product Security — un signal positif quant au programme de sécurité interne de Fortinet, même si la présence de la faille dans un produit de sécurité dédié à l'analyse des menaces reste particulièrement préoccupante.

Les correctifs sont disponibles dans les versions FortiSandbox 5.0.6 et 4.4.9. Pour les déploiements FortiSandbox 4.2, qui appartient à une branche en fin de cycle de support, une migration vers une branche activement maintenue est recommandée par Fortinet. Les équipes de sécurité qui ne peuvent pas appliquer immédiatement la mise à jour sont invitées à isoler l'interface d'administration de FortiSandbox derrière un pare-feu ou un VPN, en limitant l'accès aux seules adresses IP d'administration autorisées. La désactivation de tout accès Internet direct à l'interface GUI constitue la mesure de mitigation prioritaire en attendant le patching complet.

La publication de CVE-2026-25089 s'inscrit dans une journée de patches d'ampleur pour le secteur de la sécurité. Les 9 et 10 juin 2026 ont concentré des correctifs critiques de plusieurs éditeurs majeurs simultanément : Ivanti a patché des vulnérabilités dans ses produits ITSM et VPN, SAP a maintenu son rythme de Patch Day mensuel sur NetWeaver et Commerce Cloud, et Microsoft a publié son Patch Tuesday de juin 2026 corrigeant 200 vulnérabilités dont six zero-days. Cette concentration de publications contraint les équipes de sécurité opérationnelle à prioriser rapidement leurs efforts de remédiation en fonction du risque réel pour leur environnement spécifique.

Fortinet précise qu'aucune exploitation active de CVE-2026-25089 n'était connue à la date de publication de l'advisory le 9 juin 2026. Cette absence d'exploitation initiale représente une fenêtre favorable pour les organisations, mais elle ne doit pas générer de fausse sécurité. L'historique des vulnérabilités Fortinet illustre que les failles CVSS 9+ sur les interfaces d'administration sont fréquemment exploitées dans les semaines suivant leur divulgation, notamment par des acteurs étatiques. En 2024 et 2025, plusieurs vulnérabilités FortiGate SSL-VPN avaient été activement utilisées par des groupes APT pour établir des accès persistants dans des réseaux d'entreprise et gouvernementaux à travers le monde, avant même que les patches ne soient largement déployés.

Pour les organisations ayant externalisé leur infrastructure FortiSandbox vers des déploiements Cloud ou PaaS, la situation nécessite une vérification auprès du prestataire. Fortinet gère les mises à jour des versions Cloud et PaaS, mais les organisations doivent confirmer que leur instance a bien été mise à jour et demander une confirmation écrite dans le cadre de leur processus de gestion des vulnérabilités. Les déploiements on-premise, plus courants dans les environnements réglementés tels que le secteur financier, la santé ou la défense, requièrent une action manuelle des équipes techniques et doivent être traités en priorité.

Pourquoi c'est important

Une vulnérabilité d'injection de commandes non authentifiée CVSS 9,8 sur un équipement de sécurité représente par définition un scénario de compromission totale. FortiSandbox n'est pas une application métier ordinaire : c'est un composant de la chaîne de détection des menaces, déployé précisément pour analyser les contenus malveillants. Un attaquant ayant pris le contrôle de l'appliance dispose d'un accès privilégié à l'ensemble des fichiers analysés — potentiellement des documents confidentiels, des pièces jointes d'emails, des fichiers de configuration — tout en étant en mesure de désactiver silencieusement la détection pour ses propres outils d'attaque. C'est le paradoxe ultime d'une infrastructure de sécurité compromise : l'attaquant bénéficie d'une position de confiance au coeur du système de défense.

L'historique récent d'exploitation massive des vulnérabilités Fortinet impose une réaction rapide. Les CVE affectant FortiGate SSL-VPN ont été utilisées par des groupes APT nord-coréens, chinois et russes pour établir des accès persistants dans des réseaux d'entreprise et gouvernementaux. Cette réalité opérationnelle force les équipes de sécurité à traiter les vulnérabilités Fortinet avec une urgence particulière, bien au-delà du délai habituel de 30 jours recommandé pour les vulnérabilités critiques. Pour CVE-2026-25089, l'objectif devrait être un patching sous 72 heures pour les déploiements exposés à des réseaux non fiables, et sous 7 jours pour les déploiements correctement segmentés.

La concentration des publications de patches le 9-10 juin 2026 illustre un phénomène de surcharge cognitive qui affecte les équipes de sécurité opérationnelle. Avec des dizaines de vulnérabilités critiques à évaluer simultanément, le risque est que des failles majeures passent entre les mailles du filet de prioritisation. Les équipes dont les processus de gestion des vulnérabilités ne sont pas automatisés — flux d'alertes, règles de prioritisation basées sur le CVSS et le contexte d'exposition, workflows de suivi de patching — se retrouvent dans une position précaire lors de ces journées de patches massives. C'est l'une des raisons pour lesquelles des plateformes de Vulnerability Management avec scoring de risque adaptatif prennent une importance croissante dans les SOC modernes.

Sur le plan de l'architecture de sécurité, CVE-2026-25089 rappelle l'importance du principe de moindre exposition : les interfaces d'administration des équipements de sécurité ne doivent jamais être accessibles directement depuis Internet. La mise en oeuvre d'une architecture de gestion hors-bande (out-of-band management), avec un réseau dédié aux accès d'administration des équipements de sécurité, constitue une défense en profondeur efficace contre cette classe de vulnérabilités, indépendamment des délais de patching.

Ce qu'il faut retenir

• Mettre à jour FortiSandbox vers la version 5.0.6 ou 4.4.9 en priorité ; la branche 4.2 doit faire l'objet d'une migration vers une branche maintenue activement par Fortinet.
• En attendant le patch, restreindre impérativement l'accès à l'interface GUI de FortiSandbox aux seules adresses IP d'administration autorisées — aucune exposition directe sur Internet n'est acceptable pour un CVSS 9,8.
• Pour les déploiements Cloud et PaaS, demander une confirmation écrite de mise à jour à Fortinet ou au prestataire hébergeur dans le cadre du processus formel de gestion des vulnérabilités.