En bref

  • CVE-2026-25089 : injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox — CVSS 9.8 Critical, exécution de code root sans credentials via requêtes HTTP forgées
  • Systèmes affectés : FortiSandbox (antérieur à 5.0.6 et 4.4.9), FortiSandbox Cloud (antérieur à 5.0.6), FortiSandbox PaaS WEB UI (antérieur à 5.0.6)
  • Action urgente : mettre à jour vers FortiSandbox 5.0.6 ou 4.4.9 — aucune mitigation de configuration ne remplace le patch sur cette surface d'attaque non authentifiée

Les faits

Fortinet a publié en juillet 2026 un avis de sécurité critique concernant CVE-2026-25089, une vulnérabilité d'injection de commandes OS (CWE-78 : Improper Neutralization of Special Elements used in an OS Command) dans l'interface Web d'administration de FortiSandbox. Avec un score CVSS v3.1 de 9.8 Critical, cette vulnérabilité permet à un attaquant distant non authentifié d'exécuter des commandes arbitraires au niveau du système d'exploitation sous-jacent, en envoyant des requêtes HTTP spécialement forgées vers le portail Web de FortiSandbox. L'avis a été relayé par SecurityWeek et The Hacker News comme l'une des vulnérabilités Fortinet les plus critiques de l'année 2026.

FortiSandbox est la solution de sandboxing de Fortinet dédiée à l'analyse dynamique de fichiers suspects et à la détection des menaces avancées (APT, ransomware zero-day, malwares évasifs). Elle est déployée dans les architectures de sécurité réseau d'entreprises pour analyser les pièces jointes d'emails, les téléchargements web et les fichiers transitant par les appliances FortiGate. L'ironie de cette vulnérabilité est manifeste : un produit conçu pour détecter les menaces avancées devient lui-même un vecteur d'intrusion de premier choix pour les acteurs malveillants ciblant les infrastructures de sécurité.

CVE-2026-25089 exploite une neutralisation insuffisante des caractères spéciaux dans les paramètres d'entrée de l'interface Web d'administration de FortiSandbox. Des paramètres passés dans des requêtes HTTP GET ou POST ne sont pas correctement assainis avant leur utilisation dans des appels système OS. Un attaquant peut injecter des méta-caractères shell (point-virgule, esperluette, pipe, substitution de commandes) dans ces paramètres pour faire exécuter des commandes arbitraires par le processus serveur web, qui tourne avec des privilèges élevés — typiquement en tant que root sur l'appliance FortiSandbox.

Le vecteur d'attaque (AV:N) avec complexité faible (AC:L), sans privilèges requis (PR:N) et sans interaction utilisateur (UI:N) classe CVE-2026-25089 dans la catégorie la plus critique des vulnérabilités d'exécution de code à distance. En pratique, un script automatisé peut scanner Internet à la recherche d'interfaces Web FortiSandbox exposées et les compromettre en quelques secondes. Une fois l'appliance FortiSandbox compromise, l'attaquant dispose d'un point d'appui dans le réseau d'entreprise, généralement positionné dans une zone de sécurité avec accès au trafic analysé et possibilité de mouvement latéral vers d'autres zones réseau.

Fortinet a publié les correctifs dans FortiSandbox version 5.0.6 et 4.4.9 (branche 4.x), ainsi que dans FortiSandbox Cloud 5.0.6 et FortiSandbox PaaS 5.0.6. D'après l'avis FortiGuard Labs de juillet 2026, toutes les versions antérieures dans les branches actives sont concernées. Les équipes Fortinet recommandent une mise à jour via la procédure de mise à niveau standard par l'interface Web ou via la CLI, avec redémarrage de l'appliance après installation. La mise à jour est disponible via le portail support.fortinet.com pour les clients disposant d'un contrat de support actif.

Un second CVE Fortinet notable dans ce même bulletin est CVE-2026-44277 (CVSS 9.1), qui affecte FortiAuthenticator et présente un contrôle d'accès inapproprié exploitable à distance sans authentification via des requêtes forgées. FortiAuthenticator étant la solution d'authentification multi-facteur et de gestion des identités de Fortinet, sa compromission permettrait à un attaquant de contourner intégralement le MFA pour l'accès aux ressources réseau protégées. La combinaison potentielle CVE-2026-25089 sur FortiSandbox et CVE-2026-44277 sur FortiAuthenticator constitue une chaîne d'attaque particulièrement redoutable pour les organisations Fortinet non patchées.

Dans le contexte plus large des vulnérabilités affectant les équipements de sécurité réseau Fortinet, CVE-2026-25089 s'inscrit dans une série préoccupante de failles critiques. Les groupes APT affiliés à des États-nations — documentés par le CISA, le NCSC britannique et l'ANSSI française — ont historiquement ciblé les appliances de sécurité réseau Fortinet comme vecteur d'accès initial aux infrastructures critiques. L'exploitation de failles dans les équipements de sécurité périmétrique est particulièrement dangereuse : ces équipements disposent d'une visibilité sur l'intégralité du trafic réseau de l'organisation et d'accès privilégiés multiples à l'infrastructure sous-jacente.

La compromission de FortiSandbox présente également un risque de sabotage opérationnel insidieux : un attaquant peut modifier les politiques d'analyse, créer des exceptions pour ses propres malwares, altérer les signatures de détection ou désactiver certaines fonctions de sandboxing. Ce type de manipulation peut passer totalement inaperçu pendant des semaines ou des mois, permettant à l'attaquant de maintenir une présence persistante dans l'environnement pendant que les outils de sécurité continuent à fonctionner en apparence normalement. Il est donc essentiel de vérifier l'intégrité complète de la configuration FortiSandbox après l'application du patch si une compromission antérieure est suspectée.

Selon les analyses de Rapid7 et SecurityWeek publiées en juillet 2026, la stratégie de Fortinet de publier plusieurs correctifs critiques simultanément contraint les équipes de sécurité à prioriser rapidement leur déploiement. Dans ce lot de juillet 2026, CVE-2026-25089 sur FortiSandbox (CVSS 9.8) doit être traité en priorité absolue, suivi de CVE-2026-44277 sur FortiAuthenticator (CVSS 9.1). Il est également recommandé de consulter l'intégralité du bulletin FortiGuard Labs de juillet 2026 pour identifier toute vulnérabilité supplémentaire affectant d'autres composants Fortinet déployés en production (FortiGate, FortiManager, FortiAnalyzer).

Impact et exposition

FortiSandbox est déployé dans les architectures de sécurité réseau d'entreprises de taille moyenne à grande, dans des secteurs comme la finance, la santé, l'industrie et les administrations publiques. Les interfaces Web d'administration de FortiSandbox sont parfois exposées à Internet pour faciliter l'administration à distance, ce qui crée une surface d'attaque directement exploitable par CVE-2026-25089 sans nécessiter de position préalable sur le réseau interne. Même les appliances dont l'interface n'est pas exposée sur Internet présentent un risque si un attaquant a obtenu un accès réseau interne par un autre vecteur (phishing, credential compromise).

Les acteurs APT étatiques qui ciblent les équipements Fortinet ont démontré une capacité à développer des exploits fonctionnels rapidement après divulgation. Des campagnes attribuées à des groupes liés à la Chine, à la Russie et à l'Iran ont ciblé des vulnérabilités Fortinet précédentes pour accéder aux réseaux d'organisations gouvernementales, de défense et d'infrastructures critiques. CVE-2026-25089, avec son CVSS 9.8 et son vecteur non authentifié, correspond exactement au profil de vulnérabilités typiquement armées par ces acteurs dans les semaines suivant leur divulgation publique.

L'impact d'une compromission de FortiSandbox ne se limite pas à l'appliance elle-même. L'accès initial permet la reconnaissance du réseau depuis une position privilégiée (FortiSandbox analyse tout le trafic qui lui est soumis), l'accès aux APIs de gestion FortiGate via les intégrations Security Fabric, et le mouvement latéral vers d'autres composants de l'infrastructure. Pour les organisations utilisant la Security Fabric Fortinet, une compromission de FortiSandbox peut potentiellement se propager à l'ensemble de l'architecture de sécurité Fortinet déployée.

Recommandations immédiates

  • Mettre à jour FortiSandbox vers la version 5.0.6 (branche 5.x) ou 4.4.9 (branche 4.x) — FortiGuard Labs Security Advisory juillet 2026
  • Pour FortiSandbox Cloud et PaaS : mettre à jour vers la version 5.0.6 via le portail de gestion Fortinet Cloud
  • En attente du patch : restreindre immédiatement l'accès à l'interface Web d'administration FortiSandbox au VLAN de gestion dédié — aucun accès depuis Internet, zones DMZ ou zones non-fiables
  • Mettre également à jour FortiAuthenticator pour corriger CVE-2026-44277 (CVSS 9.1) — FortiGuard Labs Security Advisory juillet 2026
  • Après patch : vérifier l'intégrité de la configuration FortiSandbox (politiques d'analyse, exceptions de fichiers, comptes administrateurs, intégrations FortiGate) pour détecter toute modification non autorisée
  • Analyser les logs d'accès à l'interface Web FortiSandbox pour identifier des requêtes contenant des méta-caractères shell dans les paramètres, en particulier sur les 30 derniers jours

⚠️ Urgence

CVE-2026-25089 permet une RCE non authentifiée sur FortiSandbox avec CVSS 9.8. Les appliances Fortinet sont des cibles historiques d'acteurs APT etatiques. Si l'interface Web de votre FortiSandbox est accessible depuis Internet ou une zone non-fiable, considerez-la comme potentiellement compromise et lancez une investigation forensique avant d'appliquer le patch.

Comment savoir si je suis vulnérable ?

Vérifiez la version de votre FortiSandbox via l'interface Web : System → Dashboard → System Information, ou via CLI SSH : get system status | grep Version. Si la version affichée est antérieure à 5.0.6 (branche 5.x) ou 4.4.9 (branche 4.x), votre appliance est vulnérable à CVE-2026-25089. Pour FortiSandbox Cloud et PaaS, vérifiez via le portail Fortinet Cloud Management. Consultez le bulletin FortiGuard Labs de juillet 2026 pour la liste complète des versions affectées et les notes de version des correctifs disponibles.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit