CVE-2026-39813 & CVE-2026-39808 : FortiSandbox exploité activement

Les faits

Le 16 juin 2026, la société de renseignement sur les menaces Defused a déclenché une alerte d'urgence confirmant l'exploitation active et simultanée de trois vulnérabilités critiques dans Fortinet FortiSandbox : CVE-2026-39813, CVE-2026-39808, et CVE-2026-25089. Ces trois failles forment une chaîne d'exploitation dévastatrice permettant à un attaquant non authentifié de compromettre intégralement un appliance FortiSandbox depuis Internet, sans nécessiter de compte valide ni d'interaction utilisateur. La firme Qualys ThreatPROTECT a confirmé ces observations le 17 juin 2026, soulignant que des tentatives d'exploitation avaient été détectées dans leurs telemetries de menaces en temps réel. BleepingComputer rapporte que les payloads observées dans les attaques actives sont directement dérivées du PoC public disponible depuis avril 2026.

CVE-2026-39813 constitue le premier maillon de la chaîne d'attaque. Classée CVSS 9.8 (vecteur réseau, complexité faible, aucun privilège requis, aucune interaction utilisateur, scope inchangé, impact confidentialité/intégrité/disponibilité : critique), cette vulnérabilité est une traversée de chemin (CWE-24 : Path Traversal) affectant l'API JRPC de FortiSandbox. Un attaquant peut envoyer des requêtes HTTP spécialement construites permettant de sortir du répertoire légitime via des séquences de type ../ encodées, d'accéder à des ressources protégées et de contourner entièrement le mécanisme d'authentification. Les versions affectées couvrent FortiSandbox 4.4.0 à 4.4.8 et 5.0.0 à 5.0.5. Le correctif a été publié par Fortinet en avril 2026 dans les versions 4.4.9 et 5.0.6, mais de nombreuses organisations n'avaient pas encore appliqué ce patch lors de la vague d'exploitation observée mi-juin 2026. Fortinet a documenté cette faille sous la référence interne FG-IR-26-112.

CVE-2026-39808 constitue le deuxième vecteur d'exploitation critique, souvent enchaîné avec CVE-2026-39813 pour une compromission complète en deux requêtes. Cette faille d'injection de commandes OS (CWE-78 : Improper Neutralization of Special Elements used in an OS Command) est également notée CVSS 9.8 et affecte le même périmètre de versions FortiSandbox. Elle réside dans un endpoint API où le paramètre GET jid est traité sans sanitisation adéquate, permettant à un attaquant d'injecter des commandes Unix arbitraires via des caractères spéciaux (pipe |, point-virgule ;, backtick). L'exécution se produit avec les privilèges root — le niveau de privilège le plus élevé possible sur un système Linux — offrant un contrôle total sur l'appliance. Un proof-of-concept (PoC) complet, incluant un script Python automatisant l'injection, est publiquement disponible depuis avril 2026 sur des dépôts publics, abaissant considérablement la barrière technique nécessaire à l'exploitation. Security Online Info a documenté la divulgation publique du PoC et de l'exploit dès son apparition.

CVE-2026-25089, la troisième faille de ce trio, est une vulnérabilité d'injection de commandes distincte affectant cette fois l'interface Web UI de FortiSandbox, FortiSandbox Cloud et FortiSandbox PaaS. Elle a été patchée par Fortinet dans la semaine précédant le 16 juin 2026. Ce qui rend la situation particulièrement préoccupante est la synchronisation des attaques : les acteurs malveillants exploitent simultanément les trois CVE, maximisant leurs chances de compromission quelle que soit la configuration de la cible. Une organisation ayant patché CVE-2026-25089 mais pas CVE-2026-39813/39808 (ou vice versa) reste vulnérable.

La chronologie des événements révèle un phénomène préoccupant de délai patch-exploitation. Fortinet a initialement corrigé CVE-2026-39813 et CVE-2026-39808 en avril 2026. Entre avril et juin 2026, soit deux mois de délai, des chercheurs en sécurité ont publié un PoC fonctionnel. Ce délai de deux mois entre le patch et la première exploitation massive est devenu la norme pour les équipements réseau populaires : les acteurs malveillants intègrent systématiquement les PoC publiés dans leurs arsenaux dès leur disponibilité. D'après Help Net Security, la firme SOCRadar avait signalé dès le 14 juin 2026 des scans de masse ciblant les endpoints FortiSandbox exposés sur Internet, annonçant la vague d'exploitation qui allait suivre 48 heures plus tard.

La nature même de FortiSandbox aggrave dramatiquement l'impact de ces vulnérabilités. FortiSandbox est un appliance d'analyse comportementale des malwares — conçu pour isoler et inspecter des fichiers suspects dans un environnement contrôlé (sandbox), puis émettre des verdicts de menace à destination des autres équipements de sécurité de l'infrastructure (firewalls FortiGate, proxies, passerelles email). Compromettre FortiSandbox ne signifie pas seulement obtenir un foothold sur un serveur : cela signifie qu'un attaquant peut manipuler les verdicts d'analyse en temps réel, faisant passer des charges malveillantes pour inoffensives aux yeux de tout l'écosystème de sécurité en aval. Security Affairs qualifie ce scénario de « compromission de la chaîne de confiance de la détection » — une attaque contre la méta-couche de sécurité elle-même.

D'après les analyses de Greenbone Networks et Cryptika Cybersecurity publiées les 17 et 18 juin 2026, les acteurs exploitant ces vulnérabilités déploient dans un premier temps des webshells persistants et des beacons de type C2 (command and control) sur les appliances compromis. Des tentatives de récupération de binaires ELF depuis des serveurs distants contrôlés par les attaquants ont également été observées, suggérant un arsenal multi-étapes visant à maintenir un accès persistant à long terme. Un dépôt GitHub public référençant l'exploit CVE-2026-39808 (par l'utilisateur 0xBlackash) a été documenté par la communauté de sécurité, bien que Fortinet ait demandé son retrait.

La superficie d'attaque est aggravée par l'exposition directe sur Internet de nombreux appliances FortiSandbox. Selon les données Shodan citées par les analystes, plusieurs centaines d'interfaces Web UI et endpoints API FortiSandbox sont accessibles publiquement depuis Internet à la date du 18 juin 2026. Chacune de ces instances constitue une cible directe, combinant CVE-2026-39813 (bypass authentification) avec CVE-2026-39808 (exécution de commandes root) pour une compromission totale en deux requêtes HTTP. La France compte des organisations utilisant FortiSandbox dans les secteurs de la défense, des opérateurs télécom, des établissements financiers et des administrations publiques — autant de cibles prioritaires pour des attaquants cherchant à compromettre des infrastructures critiques.

Impact et exposition

Toute organisation utilisant FortiSandbox dans les versions 4.4.0 à 4.4.8 ou 5.0.0 à 5.0.5 est directement exposée aux CVE-2026-39813 et CVE-2026-39808. Les conditions d'exploitation réunissent le pire des scénarios : vecteur réseau, complexité faible, aucune authentification, aucune interaction utilisateur, et PoC public disponible. La chaîne d'attaque CVE-2026-39813 (bypass auth) → CVE-2026-39808 (injection OS root) permet une compromission totale en quelques secondes depuis n'importe quelle connexion Internet.

L'exploitation active confirmée le 16 juin 2026 signifie que le risque n'est plus théorique. Les organisations n'ayant pas encore appliqué les patches d'avril 2026 sont en danger immédiat. Le déploiement de webshells persistants par les attaquants observés signifie que même les organisations qui patchent maintenant doivent vérifier si leur appliance n'a pas déjà été compromis avant l'application du correctif.

Les secteurs les plus exposés incluent les opérateurs télécom, les établissements bancaires et financiers, les administrations publiques et les entreprises du secteur défense/aérospatial — tous grands utilisateurs de solutions Fortinet. Les environnements multi-tenant FortiSandbox Cloud et FortiSandbox PaaS sont également concernés via CVE-2026-25089, avec un risque de contamination transversale entre clients hébergés.

Une compromission de FortiSandbox dans un contexte SOC (Security Operations Center) peut avoir des conséquences opérationnelles graves : les analystes SOC font confiance aux verdicts de l'appliance pour prioriser leurs investigations. Un FortiSandbox compromis produisant de faux verdicts « clean » crée un angle mort total dans la chaîne de détection, permettant des attaques ultérieures de passer inaperçues. Il s'agit d'une attaque contre l'infrastructure de détection elle-même.

Recommandations immédiates

• Mettre à jour FortiSandbox vers la version 4.4.9 ou 5.0.6 — Fortinet Security Advisory FG-IR-26-112 — couvre CVE-2026-39813 et CVE-2026-39808
• Appliquer séparément le patch pour CVE-2026-25089 — Fortinet Security Advisory FG-IR-26-089 — si ce n'est pas déjà fait
• Bloquer immédiatement tout accès Internet direct à l'interface Web UI, aux endpoints JRPC et aux API de FortiSandbox ; restreindre aux seuls réseaux internes de confiance par règles de pare-feu
• Si le patch ne peut être appliqué immédiatement, désactiver l'accès à l'endpoint /api/v1/jrpc/ au niveau du WAF ou du proxy inverse en amont
• Analyser les journaux d'accès HTTP pour détecter des requêtes sur l'endpoint JRPC avec le paramètre jid contenant des caractères |, ; ou backtick
• Scanner les répertoires web de l'appliance FortiSandbox pour identifier des webshells (fichiers PHP/Python anormaux dans les répertoires web) et auditer les connexions sortantes vers des IP inconnues
• En cas de compromission suspectée, isoler l'appliance du réseau, collecter les logs forensiques, et procéder à une réinstallation propre depuis l'image officielle Fortinet