Critical Fortinet FortiSandbox flaws now exploited in attacks

Exploitation active des vulnérabilités critiques de FortiSandbox

La plateforme de détection des menaces FortiSandbox de Fortinet est actuellement la cible d’attaques actives exploitant plusieurs vulnérabilités critiques. Ces failles permettent à des attaquants non authentifiés de prendre le contrôle de systèmes à distance sans aucune interaction utilisateur.

Points clés :

• Les attaques observées exploitent des vecteurs d’injection de commandes nécessitant un faible niveau de complexité.
• Certaines vulnérabilités, jusqu’ici théoriques ou non exploitées, font désormais l’objet d’attaques actives.
• Fortinet est une cible récurrente pour les campagnes d’espionnage informatique et les déploiements de rançongiciels.

Vulnérabilités critiques identifiées :

• CVE-2026-39813 : Injection de commandes, exploitation active confirmée.
• CVE-2026-39808 : Injection de commandes, exploitation active confirmée.
• CVE-2026-25089 : Injection de commandes, exploitation active en cours.
• CVE-2025-61624 : Vulnérabilité de type “path traversal” (gravité moyenne), utilisée en complément d’autres failles par des attaquants authentifiés pour élever leurs privilèges.

Recommandations :

• Mise à jour immédiate : Appliquer sans délai les correctifs de sécurité fournis par Fortinet sur tous les déploiements de FortiSandbox.
• Surveillance : Inspecter les journaux système à la recherche d’activités suspectes ou d’exécutions de commandes non autorisées.
• Veille : Suivre les recommandations de la CISA concernant les vulnérabilités Fortinet activement exploitées pour ajuster les mesures de défense périmétrique.

Source