Introduction
FortiSandbox est conçu pour analyser fichiers et comportements suspects avant qu'ils n'atteignent le réseau de production. C'est précisément ce type d'appliance critique — positionnée au périmètre, souvent exposée vers l'extérieur — que les attaquants ciblent en priorité. Trois vulnérabilités activement exploitées depuis le 16 juin 2026 en apportent la démonstration la plus récente.
Trois failles, zéro authentification requise
Les CVE-2026-39813, CVE-2026-39808 et CVE-2026-25089 partagent une caractéristique redoutable : aucune n'exige que l'attaquant soit préalablement authentifié ou dispose d'un accès existant à l'environnement cible. Toutes trois sont notées 9.8 sur l'échelle CVSS.
La première exploite une traversée de chemin dans l'API JRPC pour contourner l'authentification et escalader les privilèges, sur les versions 4.4.0 à 4.4.8 et 5.0.0 à 5.0.5. La deuxième permet une injection de commandes via le paramètre GET jid, accordant à l'attaquant un accès root sans aucune interaction utilisateur. La troisième touche le WEB UI des variantes cloud et PaaS de FortiSandbox, permettant là aussi une exécution de code arbitraire à distance.
Enchaînées, ces trois failles dessinent un scénario d'intrusion complet : contournement de l'authentification, escalade de privilèges, exécution de code — depuis une simple requête HTTP vers l'interface d'administration.
Le délai qui coûte : d'avril à juin
Fortinet a publié des correctifs pour CVE-2026-39813 et CVE-2026-39808 dès avril 2026. CVE-2026-25089 a été corrigée plus tardivement, en juin. Deux mois se sont donc écoulés entre la disponibilité des premiers patchs et les premières exploitations confirmées par la société de threat intelligence Defused.
Ce schéma est malheureusement courant pour les appliances réseau. Les procédures de gestion des changements, la crainte d'interruption de service et la perception d'une prétendue « stabilité » des équipements de sécurité retardent souvent les mises à jour. Résultat : des vulnérabilités corrigées depuis plusieurs semaines restent exploitables dans des environnements de production actifs.
Des exploits à portée du plus grand nombre
Defused signale qu'un proof-of-concept public pour CVE-2026-39808 circule depuis avril 2026, accompagné d'un template de détection automatisée prêt à l'emploi. Pour CVE-2026-25089, l'exploit disponible aurait été généré avec l'assistance de l'IA — imparfait techniquement, mais suffisant pour tester des instances non protégées.
Ce détail illustre une réalité de fond : le seuil d'entrée pour exploiter des vulnérabilités connues ne cesse de baisser. Les acteurs malveillants n'ont plus besoin de développer leurs propres outils offensifs pour initier des campagnes ciblées.
Un historique qui aggrave l'exposition
Fortinet n'est pas une cible occasionnelle. L'agence américaine CISA répertorie 26 vulnérabilités Fortinet ayant fait l'objet d'exploitation documentée, dont 13 utilisées par des groupes de ransomware. Les équipements de ce fournisseur sont régulièrement mobilisés dans des campagnes d'espionnage et d'extorsion, en raison de leur présence massive au périmètre réseau des organisations de toutes tailles.
Les actions à engager sans attendre
La priorité immédiate est la mise à jour vers FortiSandbox 4.4.9 ou 5.0.6. En parallèle, il convient de vérifier que l'interface d'administration n'est pas directement accessible depuis l'internet public. Pour les environnements qui ne peuvent pas être patchés dans l'immédiat, la restriction de l'accès à l'API de gestion par règles de pare-feu et listes d'adresses autorisées constitue une atténuation temporaire à activer sans délai.
Les appliances de sécurité ne font pas exception aux cycles de mise à jour. Traiter un équipement de défense comme une boîte noire immuable, c'est précisément offrir aux attaquants la fenêtre dont ils ont besoin.