Des pirates informatiques exploitent désormais plusieurs failles critiques de la plateforme de détection de cybermenaces FortiSandbox de Fortinet, d’après la société de renseignement sur les menaces Defused.
Fortinet avait publié des mises à jour de sécurité pour ces trois vulnérabilités de niveau critique, référencées CVE-2026-39813, CVE-2026-39808 et CVE-2026-25089, le 14 avril.
Ces failles permettent à des acteurs malveillants non authentifiés d’augmenter leurs privilèges et d’exécuter du code à distance. Ils utilisent des attaques par injection de commande, qui ne nécessitent aucune interaction de la part d’un utilisateur et sont simples à mener. Pour corriger ces problèmes et bloquer les attaques, les administrateurs doivent impérativement mettre à niveau les installations concernées vers les dernières versions disponibles.
Defused a alerté lundi : « Nous observons l’exploitation de multiples vulnérabilités de Fortinet FortiSandbox au cours des dernières 24 heures, notamment : CVE-2026-39813 (aucune exploitation précédente enregistrée), CVE-2026-39808, CVE-2026-25089. D’après nos recherches, un exploit fonctionnel pour CVE-2026-25089 n’a pas encore été divulgué publiquement. »
En avril, Fortinet avait également signalé l’exploitation active d’une autre vulnérabilité, de gravité moyenne celle-là, identifiée comme CVE-2025-61624. Il s’agit d’une faille de type « parcours de chemin » qui peut permettre à des attaquants authentifiés d’élever leurs privilèges. Son exploitation réussie exige cependant des droits élevés sur les systèmes ciblés, ce qui laisse penser qu’elle est très probablement utilisée en combinaison avec une autre faille de sécurité.
Les vulnérabilités de Fortinet sont régulièrement exploitées dans des attaques par rançongiciel, souvent avant même qu’un correctif ne soit disponible, et aussi dans des campagnes de cyberespionnage pour pénétrer les réseaux des organisations visées.
Très récemment, Fortinet a publié des correctifs pour une autre vulnérabilité critique dans FortiSandbox, la CVE-2026-26083, qui pourrait conduire à une exécution de code à distance sur des systèmes non corrigés.
En février, l’éditeur avait également patché une faille d’injection SQL critique (CVE-2026-21643) dans la plateforme FortiClient Enterprise Management Server. Defused avait indiqué qu’elle était exploitée activement un mois plus tard. L’agence américaine CISA a ordonné le 13 avril aux agences fédérales de sécuriser leurs instances FortiClient EMS contre les attaques ciblant cette faille dans un délai de trois jours.
Au total, la CISA suit 26 vulnérabilités de Fortinet qui ont été exploitées ces dernières années, et 13 d’entre elles ont été utilisées par des groupes de rançongiciel.