En bref

  • CVE-2026-25089 (CVSS 9.8) : injection de commandes OS non authentifiée dans le WEB UI FortiSandbox via requêtes HTTP malveillantes — RCE sans aucun prérequis d'accès.
  • CVE-2026-26083 (CVSS 9.8) : autorisation manquante dans FortiSandbox — second vecteur d'exploitation distinct pour le même impact de compromission totale.
  • PoC public sur GitHub (0xBlackash). Affecte FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8, 4.2.x, Cloud et PaaS. Patch : 5.0.6+ / 4.4.9+. Advisory FG-IR-26-141.

Les faits

Le 9 juin 2026, Fortinet a publié l'advisory de sécurité FG-IR-26-141, révélant deux vulnérabilités critiques dans FortiSandbox, sa solution d'analyse de fichiers et d'URL par sandboxing. Les deux failles — CVE-2026-25089 et CVE-2026-26083 — présentent chacune un score CVSS v3.1 de 9.8. L'exploitation active a été confirmée par Defused Cyber à partir de fin juin 2026, soit environ trois semaines après la publication des correctifs.

CVE-2026-25089 est une vulnérabilité d'injection de commandes OS (CWE-78). Elle réside dans le composant WEB UI de FortiSandbox : l'interface de gestion ne neutralise pas correctement les entrées utilisateur dans certains paramètres de requêtes HTTP, permettant à un attaquant non authentifié d'injecter des commandes arbitraires via des opérateurs shell classiques : point-virgule (;), pipe (|), substitution de commande ($() ou backticks). La faille est exploitable à distance, sans interaction utilisateur et sans authentification, par tout attaquant disposant d'un accès réseau à l'interface de gestion.

CVE-2026-26083 est une vulnérabilité d'autorisation manquante (CWE-862). Elle permet également à un attaquant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes HTTP craftées. Bien que le mécanisme technique soit distinct de CVE-2026-25089, le résultat est identique : compromission totale de l'appliance. La coexistence de deux vecteurs d'exploitation distincts pour le même niveau d'impact rend la remédiation par compensating controls particulièrement délicate — bloquer un vecteur ne suffit pas si l'autre reste exploitable. Seul le patch offre une remédiation complète.

Les versions affectées couvrent un large périmètre. Pour FortiSandbox on-premise : toutes les versions 5.0.0 à 5.0.5, toutes les versions 4.4.0 à 4.4.8, et la totalité de la branche 4.2.x (contacter Fortinet Support pour un patch). Les versions FortiSandbox Cloud et FortiSandbox PaaS en 5.0.4 et 5.0.5 sont également vulnérables. Les correctifs officiels sont : FortiSandbox 5.0.6 ou supérieur, FortiSandbox 4.4.9 ou supérieur, et pour Cloud/PaaS : 5.0.6 ou supérieur.

La disponibilité d'un proof-of-concept public aggrave significativement le niveau de risque. Le chercheur identifié sous le pseudonyme 0xBlackash a publié un PoC fonctionnel pour CVE-2026-25089 sur GitHub environ une semaine après la publication du patch. Selon les analyses de SecPod et DailySecurityReview, ce PoC permet d'obtenir un shell sur l'appliance FortiSandbox en quelques secondes depuis un accès réseau à l'interface de gestion — sans aucune connaissance préalable du système cible. La barrière technique pour les attaquants opportunistes est désormais minimale.

L'impact potentiel d'une compromission FortiSandbox est particulièrement grave pour plusieurs raisons structurelles. Premièrement, FortiSandbox est positionné comme un composant de confiance chargé d'analyser les fichiers et URLs suspects avant qu'ils n'atteignent les utilisateurs finaux : un attaquant qui compromise le sandbox peut manipuler les résultats d'analyse pour laisser passer des malwares — évasion de détection structurelle. Deuxièmement, FortiSandbox s'intègre étroitement avec les autres composants Fortinet (FortiGate, FortiMail, FortiWeb) via la Fortinet Security Fabric, créant un potentiel de mouvement latéral vers l'ensemble de l'écosystème de sécurité. Troisièmement, l'appliance héberge localement des copies de fichiers analysés et des données de threat intelligence propriétaires.

Help Net Security a par ailleurs documenté une troisième vulnérabilité FortiSandbox, CVE-2026-39813, également sous exploitation active et découverte dans le même cycle de recherche. Elle affecte un vecteur d'attaque distinct et faciliterait la persistance post-exploitation. Les organisations doivent traiter l'ensemble du cycle de patch Fortinet de juin 2026 comme critique dans sa globalité.

La rapidité de weaponisation illustre un phénomène désormais systématique en 2026 : la technique du patch diffing — comparer les binaires avant et après correction pour localiser précisément la surface de la faille — est maîtrisée par de nombreux acteurs malveillants. Dans le cas d'une injection de commandes OS, une fois le code vulnérable identifié par diffing, construire un payload est relativement direct. Le délai de trois semaines entre patch et exploitation active de FortiSandbox est désormais considéré comme « normal » dans le paysage de menaces de 2026.

En France, FortiSandbox est déployé dans de nombreux SOC managés, chez des MSSP et dans des organisations soumises aux obligations NIS2. La compromission d'un FortiSandbox dans un MSSP peut avoir un effet cascade sur l'ensemble des clients gérés — un vecteur d'attaque supply chain particulièrement préoccupant pour les entreprises ayant externalisé leur SOC.

Impact et exposition

Tout déploiement FortiSandbox on-premise, Cloud ou PaaS dans les versions affectées est vulnérable. L'exploitation ne requiert aucune authentification et aucune interaction utilisateur. Si l'interface de gestion web est accessible depuis Internet ou depuis des segments non maîtrisés du réseau, le risque est immédiat et trivial à exploiter avec le PoC public disponible. Les MSSP opérant FortiSandbox pour plusieurs clients doivent traiter cette mise à jour en priorité absolue.

Recommandations

  • Mise à jour immédiate : upgrader FortiSandbox vers 5.0.6+ ou 4.4.9+. Pour la branche 4.2.x, contacter Fortinet Support pour un patch d'urgence.
  • Restriction de l'interface de gestion : restreindre l'accès WEB FortiSandbox aux seules adresses IP d'administration autorisées. Désactiver l'accès depuis Internet.
  • Investigation forensique : vérifier les logs d'accès depuis début juin à la recherche de requêtes HTTP POST avec des caractères suspects (;, |, $()) dans les paramètres.
  • Surveillance Security Fabric : auditer les connexions et logs d'authentification sur FortiGate, FortiMail et FortiWeb associés à ce FortiSandbox.
  • Isolation temporaire : si le patch ne peut être appliqué immédiatement, désactiver FortiSandbox et router l'analyse sandboxing vers un service alternatif.

Alerte critique

FortiSandbox cumule deux CVSS 9.8 avec PoC public et exploitation active confirmée. Un attaquant disposant d'un accès réseau à l'interface de gestion obtient un shell en quelques secondes, sans authentification. Traitez cette mise à jour comme un incident actif. Advisory Fortinet : FG-IR-26-141.

Notre FortiSandbox est dans un VLAN de gestion isolé sans accès Internet — sommes-nous protégés ?

Le risque est réduit mais non nul. Un VLAN de gestion isolé protège contre l'exploitation directe depuis Internet, mais pas contre un attaquant ayant compromis un équipement dans votre VLAN de gestion. La compromission d'un équipement en DMZ ou d'un VPN peut ouvrir un chemin vers votre VLAN si la segmentation n'est pas parfaite. Le patch reste la seule mesure de remédiation complète. Vérifiez que vos règles inter-VLAN bloquent effectivement tout trafic vers l'interface de gestion FortiSandbox.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit