Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer
basada en pila, identificada como CVE-2025-32756, que afecta a una amplia gama
de sus productos de seguridad y red. Con una puntuación CVSS de 9,6,
esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar
código o comandos arbitrarios mediante solicitudes HTTP especialmente
diseñadas. Fortinet ha confirmado su explotación activa, especialmente en sistemas
FortiVoice.
«Una vulnerabilidad de desbordamiento basada en pila [CWE-121] en
FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera podría permitir
que un atacante remoto no autenticado ejecute código o comandos arbitrarios
mediante solicitudes HTTP diseñadas», indica el
aviso de Fortinet.
En al menos un incidente confirmado, los actores de amenazas explotaron la
vulnerabilidad CVE-2025-32756 en un sistema FortiVoice para obtener acceso no
autorizado. Los atacantes ejecutaron diversas acciones maliciosas:
- Escanearon redes internas.
- Habilitaron la depuración de FCGI para recopilar credenciales.
- Borraron registros de fallos para ocultar pruebas.
Los siguientes productos de Fortinet son vulnerables si no se actualizan a las
versiones especificadas o superiores:
- FortiVoice: versiones 6.4.0–6.4.10, 7.0.0–7.0.6 y 7.2.0.
- FortiMail: versiones hasta la 7.6.2.
- FortiNDR: todas las versiones 1.x y versiones 7.x anteriores a la 7.6.1.
- FortiRecorder: versiones hasta la 7.2.3.
- FortiCamera: versiones hasta la 2.1.3.
Se recomienda encarecidamente a los usuarios que actualicen inmediatamente a
las versiones con parches que se indican en el aviso o que migren a versiones
corregidas.
Fortinet proporcionó una lista completa de archivos, procesos y registros
asociados con explotaciones conocidas:
-
Archivos modificados o añadidos, como /bin/wpad_ac_helper,
/lib/libfmlogin.so y /tmp/.sshdpm, utilizados para registrar y
exfiltrar credenciales. -
Trabajos cron añadidos para extraer contraseñas de los registros de
depuración.
Las direcciones IP de los actores de amenazas incluyen:
- 198.105.127[.124
- 43.228.217[.173
- 156.236.76[.90
- 218.187.69[.244
Para verificar que la depuración de FCGI esté habilitada maliciosamente:
diag debug application fcgiSi el resultado incluye: general to-file ENABLED esto es un fuerte indicador de vulnerabilidad.
Si no es posible aplicar parches de inmediato, Fortinet recomienda:
- Deshabilitar las interfaces administrativas HTTP/HTTPS
- Restringir el acceso administrativo a redes internas de confianza
- Monitorear los dispositivos afectados para detectar IoC conocidos
Fuente:
SecurityOnline