Fortivoice 0 günlük güvenlik açığı, keyfi kod yürütmek için vahşi doğada sömürüldü


Fortivoice 0 günlük güvenlik açığı

Fortinet, güvenlik portföyünde birden fazla ürünü etkileyen kritik bir yığın tabanlı tampon taşma güvenlik açığı (CVE-2025-32756) açıkladı ve vahşi doğada fortivoice sistemlerini hedefleyen onaylanmış sömürü.

9.6 CVSS puanı atanan güvenlik açığı, uzaktan kumandasız saldırganların özel olarak hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verir ve potansiyel olarak etkilenen cihazlar üzerinde tam kontrol sağlar.

Yığın tabanlı bir tampon taşması olarak kategorize edilen kritik güvenlik kusuru, Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera ürünlerini çok sayıda versiyonda etkiler.

Google Haberleri

Fortinet’teki güvenlik araştırmacıları, Fortivoice dağıtımlarına karşı aktif sömürü girişimlerini gözlemledikten sonra güvenlik açığını keşfetti. Güvenlik açığı resmi olarak 13 Mayıs 2025’te açıklandı ve Fortinet, etkilenen tüm ürünler için hemen güvenlik yamalarını yayınladı.

Resmi Fortinet danışmanlığı, “Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera’da yığın tabanlı taşma güvenlik açığı, uzaktan olmayan bir saldırganın hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verebilir” diyor.

Bu tür bir güvenlik açığı, özellikle kimlik doğrulaması gerektirmediği ve uzaktan istismar edilebileceği için, saldırganlara tehlikeye atılan sistemlere göre önemli bir kaldıraç sağladığı için ilgilidir.

Gözlemlenen saldırı kalıpları

Fortinet, tehdit aktörlerinin Fortivoice dağıtımlarındaki bu kırılganlığı kullanan belirli faaliyetleri belgeledi. Gözlemlenen saldırı modeli, ağ keşiflerini, kötü niyetli faaliyetleri gizlemek için sistem çökme günlüklerinin kasıtlı olarak silinmesini ve FCGI hata ayıklamasının sistemden kimlik bilgilerini yakalamasını veya log SSH giriş denemelerini içerir.

Güvenlik araştırmacıları, HTTPD izleme günlüklerindeki şüpheli günlük girişleri, sistem dosyalarında yetkisiz değişiklikler ve hassas bilgileri yaymak için tasarlanmış kötü niyetli cron işleri de dahil olmak üzere, bu saldırılarla ilişkili birden fazla uzlaşma göstergesi (IOC) belirlemişlerdir. 198.105.127.124 ve 218.187.69.244 dahil olmak üzere altı IP adresi saldırı kampanyasına bağlanmıştır.

(IOCS) Fortivoice 0 gün (CVE-2025-32756)

KategoriGösterge / detayAçıklama / Amaç
Günlük girişleri[fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connectionAnormal FastCGI davranışını gösteren HTTPD günlüklerinde hata
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11HTTPD izleme günlüğünde sinyal 11 (segmentasyon hatası)
Kötü niyetli dosyalar/bin/wpad_ac_helper (MD5: 4410352E110F82EABC0BF160BEC41D21)Saldırgan tarafından ana kötü amaçlı yazılım dosyası
/bin/busybox (MD5: EBCE43017D2CB316EA45E08374DE7315, 489821C38F429A21EA821F8460E590)Kötü niyetli veya değiştirilen yardımcı program
/lib/libfmlogin.so (MD5: 364929C45703A8434706E2D5DE45BCD)SSH kimlik bilgilerini kaydetme için kötü amaçlı kütüphane
/tmp/.sshdpmKötü niyetli kütüphane tarafından toplanan kimlik bilgilerini içerir
/bin/fmtest (MD5: 2C8834A52FAEE8D87CFF7CD09C4FB946)Ağı taramak için komut dosyası
/var/spool/.syncCron Jobs tarafından burada açıklandı kimlik bilgileri
Değiştirilmiş dosyalar/data/etc/crontabCron Job, fcgi.debug’dan grep hassas verilere eklendi
/var/spool/cron/crontabs/rootCron işi yedekleme fcgi.debug’a eklendi
/etc/pam.d/sshdLibfmlogin yüküne kötü niyetli çizgiler eklendi.
/etc/httpd.confSOAKS5 MODÜLÜNE HATTI Eklendi
Kötü niyetli ayarlarfcgi debug level is 0x80041
general to-file ENABLED
FCGI hata ayıklama etkin (varsayılan değil); Günlük Kimlik Bilgileri
Tehdit Oyuncu IPS198.105.127.124
43.228.217.173
43.228.217.82
156.236.76.90
218.187.69.244
218.187.69.59
Saldırı faaliyetinde gözlenen IP adresleri
Kötü niyetli cron işleri0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debugHer 12 saatte bir günlüklerden şifreleri çıkarır
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debugHer 12 saatte bir FCGI hata ayıklama günlüklerini yedekler

Güvenlik açığı, Fortinet’in portföyünde çok sayıda ürün versiyonunu etkiler. Fortivoice sürümleri 6.4.0 ila 6.4.10, 7.0.0 ila 7.0.6 ve 7.2.0 savunmasızdır ve anında güncellemeler gerektirir. Benzer şekilde, FortiMail (7.6.2’ye kadar), Fortindr (7.6.1’den önce tüm 1.x sürümleri ve 7.x sürümleri), Fortirecorder (7.2.3’e kadar) ve Forticamera (2.1.3’e kadar) versiyonları etkilenir.

Fortinet, müşterilerin en son yamalı sürümlere güncellemesini mümkün olan en kısa sürede önerir. Hemen güncellenemeyen kuruluşlar, riski azaltmak için HTTP/HTTPS yönetim arayüzlerini devre dışı bırakmanın sağlanan çözümünü dikkate almalıdır.

Bu olay, son yıllarda Fortinet ürünlerini etkileyen bir güvenlik açıkları örüntüsünü takip ediyor. 2025’in başlarında Fortinet, vahşi doğada da sömürülen başka bir kritik güvenlik açığını (CVE-2024-55591) yamaladı.

2022’nin sonlarında Fortinet, Çin ve Rus siber-ihale gruplarının aktif olarak sömürüldüğü bir kimlik doğrulama bypass güvenlik açığı (CVE-2022-40684) ele aldı.

Güvenlik uzmanları, Fortivoice gibi ağ güvenlik cihazlarının, kurumsal ağlardaki ayrıcalıklı konumları ve hassas iletişimlere erişim nedeniyle saldırganlar için yüksek değerli hedefler olduğunu vurgulamaktadır.

Etkilenen Fortinet ürünlerinden herhangi birini kullanan kuruluşlar, bu güvenlik danışmanlığına öncelik vermeli ve önerilen azaltmaları derhal uygulamalıdır.

Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri



Source link