Fortinet紧急修复零日漏洞CVE-2025-32756:远程代码执行风险威胁FortiVoice系统

发布于 作者:

Fortinet紧急修复零日漏洞CVE-2025-32756:远程代码执行风险威胁FortiVoice系统

原创 道玄安全 道玄网安驿站 2025-05-14 23:00


 CVE-2025-32756。

PS:有内网web自动化需求可以私信

01

一.漏洞概述

近日,Fortinet披露了一个被野外利用的关键零日漏洞
CVE-2025-32756
,该漏洞影响其多款安全产品,包括企业语音系统FortiVoice、邮件安全设备FortiMail、网络威胁检测工具FortiNDR等。漏洞被归类为
基于栈的缓冲区溢出
,CVSS评分为
9.6分
(满分10.0),攻击者可通过特制的HTTP请求远程执行任意代码或命令,无需身份验证即可完全控制设备。

二.受影响产品及版本

以下产品及其版本均存在风险,需立即升级至修复版本:
1. FortiVoice
:6.4.0-6.4.10、7.0.0-7.0.6、7.2.0 → 升级至6.4.11/7.0.7/7.2.1或更高

  1. FortiMail
    :7.0.x、7.2.x、7.4.x、7.6.x → 升级至7.0.9/7.2.8/7.4.5/7.6.3或更高

  2. FortiNDR
    :1.x、7.0.x、7.2.x、7.4.x → 升级至7.0.7/7.2.5/7.4.8或更高

  3. FortiRecorder
    :6.4.x、7.0.x、7.2.x → 升级至6.4.6/7.0.6/7.2.4或更高

  4. FortiCamera
    :2.1.x → 升级至2.1.4或更高。

注意
:部分旧版本(如FortiCamera 1.1、2.0等)需直接迁移至受支持的新版本。

三.攻击模式与入侵指标(IoCs)

Fortinet发现攻击者已利用该漏洞实施以下恶意行为:
1. 网络侦察
:扫描内网资产以寻找横向移动机会。

  1. 痕迹掩盖
    :删除系统崩溃日志以隐藏攻击活动。

  2. 凭证窃取
    :启用非默认的
    fcgi调试功能
    ,记录系统或SSH登录凭证。

  3. 后门植入
    :部署恶意文件(如
    /bin/wpad_ac_helper

    /lib/libfmlogin.so
    )及恶意Cron任务,定期外泄敏感数据。

关键入侵指标(IoCs)

日志异常
:HTTP日志中出现
FastCGI server closed connection

signal 11(段错误)

  • 恶意文件
    :检测MD5为
    4410352e110f82eabc0bf160bec41d21
    的文件
    /bin/wpad_ac_helper

  • 可疑IP地址
    :攻击流量源自
    198.105.127.124

    43.228.217.173
    等6个IP。

四.缓解措施

1. 立即升级补丁

Fortinet已为所有受影响产品发布安全更新,建议用户优先通过官方渠道升级至修复版本。

2. 临时解决方案

若无法立即更新,可采取以下措施:
禁用HTTP/HTTPS管理接口
:限制远程攻击面。

  • 限制管理访问
    :仅允许可信内网IP访问设备管理界面。

  • 检测调试设置
    :运行命令
    diag debug application fcgi
    ,若返回
    general to-file ENABLED
    ,则可能已遭入侵。

3. 监控与响应
– 检查系统文件(如
/etc/pam.d/sshd

/etc/httpd.conf
)是否被篡改。

  • 监控Cron任务中是否存在异常脚本(如每12小时提取密码的恶意任务)。

五.安全建议与总结

Fortinet设备因在企业网络中的核心地位,长期成为攻击者的高价值目标。此次漏洞的野外利用再次提醒企业:
定期更新
:及时应用厂商安全补丁,避免滞后。

  • 最小化暴露
    :关闭不必要的远程管理端口,采用VPN等安全通道。

  • 纵深防御
    :结合日志审计、入侵检测系统(IDS)和终端防护,构建多层防御体系。

此次漏洞的修复是Fortinet近年来多次安全事件中的一环。2025年初,其产品曾曝出另一个野外利用漏洞(CVE-2024-55591),而2022年的CVE-2022-40684更是被中俄黑客组织广泛利用。企业需持续关注厂商公告,强化安全运维流程

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。