CVE-2026-39808 : FortiSandbox RCE non-auth (CVSS 9.8)

Les faits

Le 14 et le 15 avril 2026, Fortinet a publié simultanément 27 nouveaux advisories de sécurité couvrant l'ensemble de sa gamme produits. Parmi ces vulnérabilités, deux critiques affectent FortiSandbox - l'appliance dédiée à l'analyse comportementale des fichiers suspects, généralement déployée en complément de FortiGate et FortiMail dans les architectures de défense en profondeur. CVE-2026-39808 et CVE-2026-39813 portent toutes deux un score CVSS v3.1 de 9.8 et permettent à un attaquant non authentifié, simplement connecté au réseau, d'exécuter du code arbitraire sur l'appliance ou d'usurper une session privilégiée.

CVE-2026-39808 est une faille d'injection de commandes système (OS command injection) localisée sur l'endpoint /fortisandbox/job-detail/tracer-behavior de l'interface web. Les chercheurs ayant analysé l'advisory FG-IR-25-XXX et le proof-of-concept publié par samu-delucas sur GitHub le 16 avril 2026 confirment que le paramètre GET jid n'est pas correctement assaini avant d'être incorporé dans une commande shell exécutée côté serveur. Le caractère pipe (|) injecté dans la valeur jid est interprété par le shell sous-jacent, autorisant l'exécution de commandes arbitraires avec les privilèges du processus web. Greenbone, Fyntralink et SecurityWeek ont confirmé indépendamment la trivialité de la chaîne d'exploitation : une seule requête HTTP GET suffit pour obtenir un reverse shell.

CVE-2026-39813 est de nature différente mais d'impact équivalent. Il s'agit d'une vulnérabilité de path traversal affectant le module d'authentification de FortiSandbox. En envoyant une requête forgée sur un endpoint API spécifique, un attaquant non authentifié peut traverser la hiérarchie de chemins utilisée par le module d'auth pour usurper effectivement une session privilégiée sans fournir de credentials. Une fois cette session forgée obtenue, l'attaquant dispose des mêmes pouvoirs qu'un administrateur légitime sur l'appliance, y compris la possibilité de modifier la configuration, d'extraire les rapports d'analyse de malwares, ou de désactiver la fonction de sandboxing pour permettre le passage de fichiers malveillants vers les utilisateurs en aval.

Les versions vulnérables sont : pour CVE-2026-39808, FortiSandbox 4.4.0 à 4.4.8 ; pour CVE-2026-39813, FortiSandbox 4.4.0 à 4.4.8 et 5.0.0 à 5.0.5. Les correctifs sont disponibles dans FortiSandbox 4.4.9 et 5.0.6, publiés simultanément avec l'advisory. Aucune mitigation officielle n'est documentée par Fortinet en dehors de l'application du patch - seule la restriction de l'accès réseau à l'interface de management de l'appliance peut limiter temporairement l'exposition.

Le contexte de cette divulgation est particulièrement préoccupant pour les équipes SOC. FortiSandbox occupe une position de confiance élevée dans les architectures de sécurité : c'est l'appliance vers laquelle on envoie les fichiers suspects pour détonation contrôlée, c'est elle qui rend le verdict final sur un échantillon avant qu'il ne soit autorisé à atteindre l'utilisateur. Une compromission de FortiSandbox peut être utilisée non seulement pour exfiltrer les échantillons de malwares analysés - dont certains contiennent des informations sensibles sur les attaques en cours contre l'organisation - mais aussi pour falsifier les verdicts et permettre à un attaquant de faire passer son malware comme bénin dans les flux de mail et de proxy web.

Au moment de la publication de l'advisory le 14 avril 2026, Fortinet indiquait n'avoir détecté aucune exploitation in-the-wild. La situation a basculé rapidement avec la publication du PoC public pour CVE-2026-39808 le 16 avril 2026 sur le compte GitHub de samu-delucas, accompagné d'un template Nuclei publié par rxerium permettant la détection automatisée de la vulnérabilité par scan. Selon Fyntralink, des activités de scan de masse ciblant l'endpoint /fortisandbox/job-detail/tracer-behavior ont été observées dès le 17 avril 2026, avec une concentration particulière sur le secteur financier saoudien et des cibles en Asie du Sud-Est.

L'historique récent de Fortinet en matière de gestion des vulnérabilités d'urgence pèse également dans le contexte. Au cours des 12 derniers mois, Fortinet a publié plusieurs CVE critiques sur ses produits phares - FortiClient EMS (CVE-2026-35616 actuellement au KEV), FortiOS, FortiManager - dont certaines ont été exploitées comme zero-day avant la disponibilité des patches. Le rythme soutenu des advisories Fortinet et la fréquence des exploitations sauvages ont conduit le CERT-FR à publier plusieurs alertes successives invitant les organisations à durcir leurs procédures de patching pour les équipements Fortinet exposés.

Pour les défenseurs, le risque est aggravé par le fait que FortiSandbox communique avec d'autres équipements Fortinet via les protocoles de partage de signatures et de verdicts (Fortinet Security Fabric). Une appliance FortiSandbox compromise peut potentiellement émettre de fausses signatures vers les FortiGate de l'organisation, dégradant la posture de défense globale. Cette interconnexion native des produits Fortinet, vendue comme un avantage architectural, devient un facteur d'aggravation lorsqu'un maillon de la chaîne est compromis.

Impact et exposition

Les organisations exposées sont celles qui ont déployé FortiSandbox dans une version 4.4.x ou 5.0.x antérieure aux correctifs, et qui exposent l'interface de management ou l'API de submission au réseau interne ou à Internet. Le scan Shodan effectué par Greenbone le 17 avril 2026 estime à plusieurs milliers le nombre d'instances FortiSandbox exposées sur Internet à travers le monde, dont une part significative tourne encore une version vulnérable.

Les conditions d'exploitation sont parmi les plus favorables pour un attaquant : aucune authentification requise, vecteur réseau, complexité d'attaque faible, payload livrable en une seule requête HTTP. Le PoC public pour CVE-2026-39808 abaisse drastiquement la barrière à l'entrée : un script kiddie peut exploiter la faille en quelques secondes après avoir téléchargé le PoC depuis GitHub. Pour CVE-2026-39813, aucun PoC public n'a été identifié à la date de publication de cet article, mais les détails diffusés dans les advisories tiers permettent une reconstitution rapide.

L'exploitation active à grande échelle est probable mais non encore confirmée publiquement par Fortinet. Cependant, les observations de Fyntralink concernant le scan de masse vers l'endpoint vulnérable et la concentration géographique des tentatives suggèrent qu'au moins un acteur structuré opère une campagne ciblée. La fenêtre entre la publication du PoC le 16 avril 2026 et le 4 mai 2026 - date de cette analyse - laisse plusieurs semaines pendant lesquelles des compromissions silencieuses ont pu intervenir.

Au-delà de la compromission directe, l'impact en aval inclut : exfiltration de l'historique des analyses (donc indirectement la threat intelligence interne de l'organisation), falsification des verdicts permettant le passage de malwares vers les FortiGate connectés au Security Fabric, pivot vers d'autres composants de l'infrastructure Fortinet via les credentials et tokens stockés dans la configuration de FortiSandbox.

Recommandations immédiates

• Mettre à jour FortiSandbox vers la version 4.4.9 ou 5.0.6 selon la branche déployée (advisory Fortinet PSIRT du 14-15 avril 2026).
• Restreindre immédiatement l'accès réseau à l'interface web et à l'API de FortiSandbox à un nombre limité d'adresses IP de management - aucune exposition Internet ne devrait être tolérée pour ce type d'appliance.
• Auditer les logs HTTP et les access logs Apache/Nginx de FortiSandbox depuis le 14 avril 2026 à la recherche de requêtes vers /fortisandbox/job-detail/tracer-behavior contenant le caractère pipe (|) ou des séquences inhabituelles dans le paramètre jid.
• Vérifier les logs d'authentification à la recherche de sessions privilégiées créées sans tentative de login préalable, indicateur de l'exploitation de CVE-2026-39813.
• Faire tourner toutes les credentials et tokens d'API utilisés par FortiSandbox pour communiquer avec les autres composants Fortinet (FortiGate, FortiManager, FortiAnalyzer) en cas de doute sur une compromission.
• Vérifier l'intégrité des verdicts récents émis par FortiSandbox, en particulier ceux qualifiant des fichiers comme bénins, et corréler avec les événements aval dans les FortiGate.