Kritická zero-day zraniteľnosť v produktoch Fortinet FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú kritickú zero-day zraniteľnosť v produktoch FortiVoice, FortiMail, FortiNDR, FortiRecorder a FortiCamera. CVE-2023-32756 možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť je aktívne zneužívaná v rámci útokov na telefónne systémy FortiVoice.

Zraniteľné systémy:

• FortiCamera 2.1 vo verziách starších ako 2.1.4
• FortiCamera 2.0 vo všetkých verziách
• FortiCamera 1.1 vo všetkých verziách
• FortiMail 7.6 vo verziách starších ako 7.6.3
• FortiMail 7.4 vo verziách starších ako 7.4.5
• FortiMail 7.2 vo verziách starších ako 7.2.8
• FortiMail 7.0 vo verziách starších ako 7.0.9
• FortiNDR 7.6 vo verziách starších ako 7.6.1
• FortiNDR 7.4 vo verziách starších ako 7.4.8
• FortiNDR 7.2 vo verziách starších ako 7.2.5
• FortiNDR 7.1 vo všetkých verziách
• FortiNDR 7.0 vo verziách starších ako 7.0.7
• FortiNDR 1.5 vo všetkých verziách
• FortiNDR 1.4 vo všetkých verziách
• FortiNDR 1.3 vo všetkých verziách
• FortiNDR 1.2 vo všetkých verziách
• FortiNDR 1.1 vo všetkých verziách
• FortiRecorder 7.2 vo verziách starších ako 7.2.4
• FortiRecorder 7.0 vo verziách starších ako 7.0.6
• FortiRecorder 6.4 vo verziách starších ako 6.4.6
• FortiVoice 7.2 vo verziách starších ako 7.2.1
• FortiVoice 7.0 vo verziách starších ako 7.0.7
• FortiVoice 6.4 vo verziách starších ako 6.4.11

Opis zraniteľnosti:

CVE-2025-32756 (CVSS 3.1 skóre: 9,6)

Kritická zraniteľnosť spočíva v pretečení vyrovnávacej pamäte zásobníka a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP požiadaviek mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Pozn.: Zraniteľnosť je aktívne zneužívaná v rámci útokov na telefónne systémy FortiVoice. Útočníci po prieniku do systému vykonávajú skenovanie siete, mažú systémové crashlogy a aktivujú funkciu fcgi debugging za účelom zaznamenávania prihlasovacích údajov zo systému a prihlasovania prostredníctvom SSH.

Možné škody:

• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča používať len produkty s platnou technickou podporou. Administrátorom odporúčame bezodkladnú aktualizáciu FortiCamera  aspoň na verziu 2.1.4; FortiMail na verzie 7.6.3, 7.4.5, 7.2.8 alebo 7.0.9; FortiNDR na verzie 7.6.1, 7.4.8, 7.2.5 alebo 7.0.7; FortiRecorder na verzie 7.2.4, 7.0.6 alebo 6.4.6 a FortiVoice na verzie 7.2.1, 7.0.7 alebo 6.4.11. V prípade, že aktualizáciu systémov nie je možné vykonať, zraniteľnosť je možné mitigovať limitovaním prístupu k administratívnemu rozhraniu zariadení alebo úplným vypnutím HTTP/HTTPS prístupu k nim.

Taktiež odporúčame vykonať kontrolu logov a nastavení za účelom identifikácie pokusov o zneužitie tejto zraniteľnosti a preverenie IOC v rámci logov sieťových a bezpečnostných prvkov.

• V rámci kontroly logov prostredníctvom CLI príkazu „diagnose debug application httpd display trace-log“ indikuje zneužitie zraniteľnosti prítomnosť riadkov v tvare:
  • [x x x x:x:x.x 2025] [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection
  • [x x x x:x:x.x 2025] [fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11
• Preveriť stav funkcie fcgi debugging prostredníctvom CLI príkazu „diag debug application fcgi“. Ak je funkcia na zariadení aktívna, výpis obsahuje reťazec „general to-file ENABLED“. Nakoľko uvedená funkcia nie je v predvolenom nastavení aktívna, ak ste ju neaktivovali manuálne, indikuje aktivitu útočníka.
• Vykonať kontrolu integrity súborového systému zariadenia za účelom identifikácie súborov nahraných útočníkom
  • /bin/wpad_ac_helper
    • MD5:4410352e110f82eabc0bf160bec41d21
  • /bin/busybox
    • MD5:ebce43017d2cb316ea45e08374de7315
    • MD5: 489821c38f429a21e1ea821f8460e590
  • /lib/libfmlogin.so
    • MD5:364929c45703a84347064e2d5de45bcd
  • /bin/fmtest
    • MD5: 2c8834a52faee8d87cff7cd09c4fb946
  • /var/spool/.sync
  • /tmp/.sshdpm
• Vykonať kontrolu integrity súborového systému zariadenia za účelom identifikácie modifikácie nastavení:
  • /data/etc/crontab
  • /var/spool/cron/crontabs/root
  • /etc/pam.d/sshd
  • /etc/httpd.conf

Indikátory kompromitácie:

• 43.228.217[.]82
• 43.228.217[.]173
• 156.236.76[.]90
• 198.105.127[.]124
• 218.187.69[.]244
• 218.187.69[.]59

Zdroje:

• https://fortiguard.fortinet.com/psirt/FG-IR-25-254
• https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-zero-day-exploited-in-fortivoice-attacks/