Fortinet FortiSandbox : trois failles critiques exploitées

Trois failles, une fenêtre d'exploitation ouverte depuis deux mois

Le 16 juin 2026, des chercheurs en sécurité ont confirmé l'exploitation active de trois vulnérabilités critiques dans Fortinet FortiSandbox, la solution de sandboxing de l'éditeur californien utilisée dans les grandes entreprises pour analyser les fichiers et URL suspects dans un environnement cloisonné avant leur ouverture par les utilisateurs. Les alertes publiées simultanément par Help Net Security, BleepingComputer et GBHackers marquent une escalade significative : l'une de ces trois failles — CVE-2026-39813 — n'avait jusqu'ici jamais été observée en conditions réelles d'exploitation malgré sa divulgation en avril.

CVE-2026-39813 est la plus critique du lot, avec un score CVSS de 9.8 sur 10. Il s'agit d'une vulnérabilité de type traversée de répertoire (path traversal, notée ../filedir) dans l'API JRPC de FortiSandbox. Elle affecte les versions 5.0.0 à 5.0.5 et 4.4.0 à 4.4.8. La faille permet à un attaquant non authentifié d'escalader ses privilèges et de contourner l'intégralité du mécanisme d'authentification en envoyant des requêtes HTTP spécialement forgées vers l'interface d'administration. L'accès se fait via le port 443 au format JSONRPC POST, ce qui rend la tentative difficile à distinguer du trafic TLS légitime sans inspection approfondie.

La deuxième faille, CVE-2026-39808, de nature technique similaire, avait été corrigée simultanément avec CVE-2026-39813 lors du bulletin de sécurité Fortinet de mi-avril 2026. Sa sévérité critique lui vaut d'être désormais intégrée dans les indicateurs de compromission publiés par les équipes de threat intelligence. La troisième vulnérabilité du lot, CVE-2026-25089, avait quant à elle fait l'objet d'un correctif distinct en début d'année 2026, mais elle reste exploitable sur les systèmes qui n'ont pas été mis à jour depuis lors.

Des chercheurs ayant déployé des honeypots simulant des infrastructures FortiSandbox ont identifié des tentatives d'exploitation actives provenant de l'adresse IP 141.11.43.175, rattachée à l'ASN AS136510. Ces requêtes POST malveillantes arrivent systématiquement sur le port 443 et ciblent l'endpoint JRPC, confirmant que les acteurs malveillants disposent d'un exploit fonctionnel — vraisemblablement développé par rétro-ingénierie des patches d'avril ou à partir des détails techniques publiés dans les CVE. La présence d'une seule source IP dominante suggère soit une phase de reconnaissance automatisée, soit un acteur unique procédant à des tests d'exploitation avant un déploiement plus large.

FortiSandbox est une composante clé de l'architecture de sécurité des grandes entreprises et administrations. Elle reçoit les fichiers suspects provenant de FortiMail (passerelle de messagerie), FortiGate (pare-feu) et FortiClient (endpoint), les exécute dans un bac à sable, et rend un verdict avant de les laisser atteindre l'utilisateur final. Compromettre un FortiSandbox, c'est potentiellement s'introduire au cœur du pipeline d'analyse de sécurité, avec la capacité de neutraliser les mécanismes de détection, de modifier les verdicts sur les fichiers analysés, ou d'exfiltrer les échantillons malveillants mis en quarantaine pour y récupérer des informations sensibles — notamment des pièces jointes d'emails d'entreprise.

Fortinet a publié les versions corrigées dès avril 2026 : FortiSandbox 5.0.6 pour la branche 5.x et FortiSandbox 4.4.9 pour la branche 4.4.x. L'éditeur recommande aux organisations qui ne peuvent pas appliquer le patch immédiatement de restreindre l'accès à l'interface JRPC (port 443) aux seules adresses IP internes de confiance via des règles de pare-feu positionnées en amont du FortiSandbox. Cette mesure de contournement ne corrige pas la faille mais réduit drastiquement la surface d'attaque accessible depuis l'extérieur.

Selon les informations disponibles sur BleepingComputer et Help Net Security, aucun groupe d'attaquants spécifique n'a pour l'instant été formellement identifié comme responsable de la campagne d'exploitation en cours. La rapidité avec laquelle l'exploitation a débuté — environ deux mois après la publication des patches — s'inscrit dans une tendance bien documentée : les acteurs malveillants s'automatisent pour scanner Internet à la recherche d'équipements Fortinet non patchés, capitalisant sur le large parc installé de ces solutions. La CISA n'avait pas encore officiellement ajouté ces trois CVE à son catalogue KEV (Known Exploited Vulnerabilities) au moment de la publication de cette alerte, mais les analystes anticipent une inscription imminente, ce qui déclencherait pour les agences fédérales américaines une obligation de remédiation dans un délai de 21 jours.

Du côté des indicateurs techniques, les équipes SOC doivent rechercher dans leurs journaux des requêtes POST anormales vers les chemins JRPC de FortiSandbox, en particulier celles contenant des séquences de traversée de répertoire (../, ..\). Les tentatives d'exploitation laissent également des traces dans les journaux d'authentification sous forme de connexions échouées suivies immédiatement d'accès administratifs réussis depuis la même source — un pattern caractéristique d'un bypass d'authentification réussi. La corrélation de ces événements avec l'IP 141.11.43.175 et l'ASN AS136510 constitue un premier pivot d'investigation utile.

L'écosystème Fortinet, cible permanente des acteurs étatiques et cybercriminels

Cette nouvelle vague d'exploitation des produits Fortinet s'inscrit dans un pattern alarmant et persistant. Depuis 2023, les vulnérabilités affectant FortiGate, FortiManager, FortiOS et FortiSIEM ont successivement été exploitées — souvent en pre-auth — par des groupes APT étatiques, notamment des acteurs liés à la Chine (Volt Typhoon, UNC3886) et à la Russie (APT28). Le rapport conjoint des agences Five Eyes de 2025 avait consacré une section entière aux techniques de persistance post-exploitation sur FortiOS, documentant la création de comptes super-administrateur fantômes et l'implantation de backdoors dans le firmware.

La différence substantielle avec les incidents précédents tient au vecteur ciblé. FortiSandbox est un outil de défense active, pas un équipement de périmètre exposé comme un pare-feu. Son exploitation représente un changement de paradigme tactique : les attaquants ne cherchent plus seulement à traverser le périmètre, ils s'attaquent aux outils censés les détecter. C'est une logique de neutralisation des capacités défensives, documentée dans le cadre MITRE ATT&CK sous la tactique T1562 (Impair Defenses). Un FortiSandbox compromis peut rendre des verdicts falsifiés — déclarer sains des fichiers malveillants — sans qu'aucune alerte ne soit générée dans le SIEM.

Pour les entreprises et administrations françaises, la situation est particulièrement sensible. Fortinet figure parmi les fournisseurs les plus représentés dans les infrastructures des ETI, grandes entreprises et organismes publics en France, bénéficiant notamment de qualifications ANSSI pour certains de ses produits dans des configurations spécifiques. Un parc installé important signifie une surface d'attaque collective large. La fenêtre temporelle entre publication d'un patch et exploitation active s'est considérablement réduite : selon le Verizon DBIR 2026, le délai médian d'exploitation post-divulgation est désormais inférieur à une semaine pour les équipements réseau exposés. Les organisations opérant sur des cycles de patch mensuels ou trimestriels sont structurellement en retard.

La concomitance de l'exploitation de trois CVE distinctes — deux patchées ensemble et une antérieure — suggère que les attaquants ont développé un kit d'exploitation couvrant plusieurs vecteurs pour maximiser leurs chances de succès face à des configurations variables. Cette approche multi-CVE est de plus en plus fréquente sur les équipements de sécurité réseau à forte présence en entreprise. Elle implique pour les équipes de défense non seulement de patcher rapidement, mais aussi de vérifier que l'ensemble des branches affectées ont bien été mises à jour, pas seulement la version principale déployée.

Ce qu'il faut retenir

• Mettre à jour FortiSandbox vers les versions 5.0.6 ou 4.4.9 dès maintenant — les patches existent depuis avril 2026 mais l'exploitation active a débuté le 16 juin.
• En attente de patch, restreindre l'accès au port 443 de l'interface JRPC aux seules adresses IP internes autorisées via des ACL ou règles de pare-feu amont.
• Auditer les logs JRPC à la recherche de séquences de traversée de répertoire et de connexions administratives anormales, en corrélant avec l'IP 141.11.43.175 (AS136510).