CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8

Les faits

Fortinet a divulgué CVE-2026-25089 dans son avis de sécurité FG-IR-26-055 en juin 2026, révélant une vulnérabilité critique d'injection de commandes OS dans l'interface web de FortiSandbox. La faille obtient un score CVSS 3.1 de 9.8 (Critique) avec le vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. FortiSandbox est une appliance de sandboxing de sécurité utilisée par les entreprises pour analyser les fichiers suspects et détecter les menaces avancées en les exécutant dans un environnement isolé contrôlé. Elle constitue un composant central des architectures de défense en profondeur déployées dans les secteurs bancaire, gouvernemental et industriel.

La vulnérabilité est classifiée CWE-78 (Improper Neutralization of Special Elements used in an OS Command). Elle réside dans les gestionnaires de requêtes HTTP de l'interface web administrative de FortiSandbox. Le problème fondamental est que certains endpoints de l'interface acceptent des paramètres fournis par l'utilisateur et les intègrent directement dans des commandes shell sans filtrage adéquat des méta-caractères spéciaux. Cette classe de vulnérabilité est parmi les plus exploitables car elle permet une exécution directe de commandes système avec les privilèges du processus applicatif, généralement root sur les appliances FortiSandbox.

Techniquement, l'exploitation fonctionne en injectant des méta-caractères shell dans des paramètres HTTP de certaines requêtes vers l'interface web. Les caractères problématiques incluent les pipes (|), les points-virgules (;), les backticks, les opérateurs logiques (&&, ||), et la substitution de commandes. Lorsque l'application construit une commande shell en concaténant ces entrées non sanitisées, le shell interprète les méta-caractères et exécute les commandes injectées avec les privilèges du processus FortiSandbox. Un exemple simplifié : une requête HTTP avec le paramètre filename=rapport.pdf; id; whoami déclencherait l'exécution des commandes système id et whoami sur l'appliance — confirmant le contrôle root de l'attaquant.

La disponibilité d'un proof-of-concept public représente un facteur de risque majeur. Des acteurs malveillants peu qualifiés peuvent exploiter cette faille à grande échelle à l'aide d'outils automatisés. Selon les informations publiées par CybersecurityNews.com, des tentatives d'exploitation ont été observées peu après la divulgation publique de la vulnérabilité. La surface d'attaque est significative car aucune authentification n'est requise dans les configurations standard exposant l'interface web de FortiSandbox.

Les versions affectées sont étendues : toute la branche 4.2.x de FortiSandbox est vulnérable, ainsi que les versions 4.4.0 à 4.4.8, et 5.0.0 à 5.0.5. Pour les offres cloud, FortiSandbox Cloud et FortiSandbox PaaS versions 5.0.4 et 5.0.5 sont également impactées. Fortinet a publié les correctifs dans les versions 5.0.6 et 4.4.9 pour les déploiements on-premise, et 5.0.6 pour les variantes cloud et PaaS. La branche 4.2.x, en fin de vie imminente, pourrait ne pas recevoir de patch officiel — les organisations sur cette branche doivent migrer vers une version supportée en priorité absolue.

CVE-2026-25089 s'inscrit dans un contexte de vulnérabilités récurrentes dans les produits Fortinet. En 2025 et début 2026, de nombreuses failles critiques ont été découvertes dans FortiGate, FortiManager, FortiAnalyzer et FortiSandbox, plusieurs exploitées activement par des groupes APT. CVE-2026-26083, une RCE distincte dans FortiSandbox avec CVSS 9.1, avait déjà été publiée précédemment dans ce cycle. Cette accumulation de vulnérabilités critiques dans l'infrastructure de sécurité Fortinet crée une pression opérationnelle importante sur les équipes chargées de maintenir ces appliances à jour.

La situation est d'autant plus préoccupante que des acteurs de menace étatiques ciblent systématiquement les vulnérabilités Fortinet. Les groupes Volt Typhoon (Chine), Sandworm (Russie) et des acteurs iraniens ont historiquement intégré les exploits Fortinet dans leurs toolkits offensifs. CVE-2026-25089, par son vecteur non authentifié et son score CVSS élevé, présente tous les attributs d'une faille susceptible d'être weaponisée rapidement, comme l'ont été CVE-2024-47575 (FortiManager) et CVE-2022-42475 (FortiOS SSL-VPN) dans les mois suivant leur divulgation, selon les rapports de la CISA et du CERT-FR.

Selon les informations de SecurityWeek et SecurityAffairs, le chercheur ayant découvert la faille a fourni suffisamment de détails techniques pour permettre la création d'exploits fonctionnels. Fortinet souligne dans son advisory FG-IR-26-055 que des mesures d'atténuation existent si la mise à jour immédiate n'est pas possible, notamment la restriction de l'accès à l'interface web administrative aux seuls réseaux de confiance. Toutefois, Fortinet recommande fortement d'appliquer le patch plutôt que de se fier uniquement à ces restrictions, car des chemins d'exploitation non documentés pourraient les contourner dans certaines configurations.

Impact et exposition

FortiSandbox occupe une position particulièrement sensible dans l'architecture de sécurité des entreprises : toute la détection des menaces avancées, les analyses comportementales et l'inspection des fichiers suspects y transitent. Compromettre FortiSandbox permet à un attaquant de modifier les règles de détection pour laisser passer des malwares ciblés, d'accéder à tous les fichiers analysés (potentiellement confidentiels), de désactiver la journalisation pour effacer ses traces, et d'utiliser l'appliance comme pivot vers le réseau interne. La compromission d'un composant de sécurité aveugle complètement l'organisation sur les attaques en cours.

La surface d'attaque est significative : FortiSandbox est souvent déployé avec son interface web accessible depuis les réseaux de gestion, et dans certains cas exposé sur Internet pour la soumission d'échantillons à distance. D'après les scans Shodan, des centaines d'instances FortiSandbox seraient accessibles publiquement. Les organisations ayant suivi les bonnes pratiques Fortinet de non-exposition sur Internet sont moins exposées, mais restent vulnérables aux attaquants ayant déjà un pied dans le réseau interne, notamment via un accès initial par phishing.

La nature non authentifiée de l'exploitation (CVSS PR:N) est le facteur le plus alarmant : même un attaquant externe sans aucun accès préalable peut compromettre FortiSandbox directement si l'interface est exposée. Combinée à la disponibilité d'un PoC et à l'historique d'exploitation rapide des failles Fortinet par des groupes APT, CVE-2026-25089 représente un risque élevé d'exploitation active dans un délai très court après la divulgation publique.

Recommandations immédiates

• Mettre à jour FortiSandbox vers la version 5.0.6 ou 4.4.9 pour les déploiements on-premise — advisory : Fortinet Security Advisory FG-IR-26-055
• Mettre à jour FortiSandbox Cloud et PaaS vers la version 5.0.6
• Si mise à jour impossible immédiatement : restreindre l'accès à l'interface web administrative aux seuls réseaux de confiance via règles pare-feu
• Désactiver l'accès Internet direct à l'interface web FortiSandbox si ce n'est pas déjà le cas
• Analyser les logs d'accès HTTP depuis le 1er juin 2026 pour des requêtes anormales contenant des méta-caractères shell
• Vérifier l'intégrité des règles de détection et des politiques de sandboxing — s'assurer qu'elles n'ont pas été modifiées récemment