Fortinet, güvenlik portföyünde birden fazla ürünü etkileyen kritik bir yığın tabanlı tampon taşma güvenlik açığı (CVE-2025-32756) açıkladı ve vahşi doğada fortivoice sistemlerini hedefleyen onaylanmış sömürü.
9.6 CVSS puanı atanan güvenlik açığı, uzaktan kumandasız saldırganların özel olarak hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verir ve potansiyel olarak etkilenen cihazlar üzerinde tam kontrol sağlar.
Yığın tabanlı bir tampon taşması olarak kategorize edilen kritik güvenlik kusuru, Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera ürünlerini çok sayıda versiyonda etkiler.
.png
)
Fortinet’teki güvenlik araştırmacıları, Fortivoice dağıtımlarına karşı aktif sömürü girişimlerini gözlemledikten sonra güvenlik açığını keşfetti. Güvenlik açığı resmi olarak 13 Mayıs 2025’te açıklandı ve Fortinet, etkilenen tüm ürünler için hemen güvenlik yamalarını yayınladı.
Resmi Fortinet danışmanlığı, “Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera’da yığın tabanlı taşma güvenlik açığı, uzaktan olmayan bir saldırganın hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verebilir” diyor.
Bu tür bir güvenlik açığı, özellikle kimlik doğrulaması gerektirmediği ve uzaktan istismar edilebileceği için, saldırganlara tehlikeye atılan sistemlere göre önemli bir kaldıraç sağladığı için ilgilidir.
Gözlemlenen saldırı kalıpları
Fortinet, tehdit aktörlerinin Fortivoice dağıtımlarındaki bu kırılganlığı kullanan belirli faaliyetleri belgeledi. Gözlemlenen saldırı modeli, ağ keşiflerini, kötü niyetli faaliyetleri gizlemek için sistem çökme günlüklerinin kasıtlı olarak silinmesini ve FCGI hata ayıklamasının sistemden kimlik bilgilerini yakalamasını veya log SSH giriş denemelerini içerir.
Güvenlik araştırmacıları, HTTPD izleme günlüklerindeki şüpheli günlük girişleri, sistem dosyalarında yetkisiz değişiklikler ve hassas bilgileri yaymak için tasarlanmış kötü niyetli cron işleri de dahil olmak üzere, bu saldırılarla ilişkili birden fazla uzlaşma göstergesi (IOC) belirlemişlerdir. 198.105.127.124 ve 218.187.69.244 dahil olmak üzere altı IP adresi saldırı kampanyasına bağlanmıştır.
(IOCS) Fortivoice 0 gün (CVE-2025-32756)
| Kategori | Gösterge / detay | Açıklama / Amaç |
|---|---|---|
| Günlük girişleri | [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection | Anormal FastCGI davranışını gösteren HTTPD günlüklerinde hata |
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11 | HTTPD izleme günlüğünde sinyal 11 (segmentasyon hatası) | |
| Kötü niyetli dosyalar | /bin/wpad_ac_helper (MD5: 4410352E110F82EABC0BF160BEC41D21) | Saldırgan tarafından ana kötü amaçlı yazılım dosyası |
/bin/busybox (MD5: EBCE43017D2CB316EA45E08374DE7315, 489821C38F429A21EA821F8460E590) | Kötü niyetli veya değiştirilen yardımcı program | |
/lib/libfmlogin.so (MD5: 364929C45703A8434706E2D5DE45BCD) | SSH kimlik bilgilerini kaydetme için kötü amaçlı kütüphane | |
/tmp/.sshdpm | Kötü niyetli kütüphane tarafından toplanan kimlik bilgilerini içerir | |
/bin/fmtest (MD5: 2C8834A52FAEE8D87CFF7CD09C4FB946) | Ağı taramak için komut dosyası | |
/var/spool/.sync | Cron Jobs tarafından burada açıklandı kimlik bilgileri | |
| Değiştirilmiş dosyalar | /data/etc/crontab | Cron Job, fcgi.debug’dan grep hassas verilere eklendi |
/var/spool/cron/crontabs/root | Cron işi yedekleme fcgi.debug’a eklendi | |
/etc/pam.d/sshd | Libfmlogin yüküne kötü niyetli çizgiler eklendi. | |
/etc/httpd.conf | SOAKS5 MODÜLÜNE HATTI Eklendi | |
| Kötü niyetli ayarlar | fcgi debug level is 0x80041general to-file ENABLED | FCGI hata ayıklama etkin (varsayılan değil); Günlük Kimlik Bilgileri |
| Tehdit Oyuncu IPS | 198.105.127.124 43.228.217.173 43.228.217.82 156.236.76.90 218.187.69.244 218.187.69.59 | Saldırı faaliyetinde gözlenen IP adresleri |
| Kötü niyetli cron işleri | 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | Her 12 saatte bir günlüklerden şifreleri çıkarır |
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | Her 12 saatte bir FCGI hata ayıklama günlüklerini yedekler |
Güvenlik açığı, Fortinet’in portföyünde çok sayıda ürün versiyonunu etkiler. Fortivoice sürümleri 6.4.0 ila 6.4.10, 7.0.0 ila 7.0.6 ve 7.2.0 savunmasızdır ve anında güncellemeler gerektirir. Benzer şekilde, FortiMail (7.6.2’ye kadar), Fortindr (7.6.1’den önce tüm 1.x sürümleri ve 7.x sürümleri), Fortirecorder (7.2.3’e kadar) ve Forticamera (2.1.3’e kadar) versiyonları etkilenir.
Fortinet, müşterilerin en son yamalı sürümlere güncellemesini mümkün olan en kısa sürede önerir. Hemen güncellenemeyen kuruluşlar, riski azaltmak için HTTP/HTTPS yönetim arayüzlerini devre dışı bırakmanın sağlanan çözümünü dikkate almalıdır.
Bu olay, son yıllarda Fortinet ürünlerini etkileyen bir güvenlik açıkları örüntüsünü takip ediyor. 2025’in başlarında Fortinet, vahşi doğada da sömürülen başka bir kritik güvenlik açığını (CVE-2024-55591) yamaladı.
2022’nin sonlarında Fortinet, Çin ve Rus siber-ihale gruplarının aktif olarak sömürüldüğü bir kimlik doğrulama bypass güvenlik açığı (CVE-2022-40684) ele aldı.
Güvenlik uzmanları, Fortivoice gibi ağ güvenlik cihazlarının, kurumsal ağlardaki ayrıcalıklı konumları ve hassas iletişimlere erişim nedeniyle saldırganlar için yüksek değerli hedefler olduğunu vurgulamaktadır.
Etkilenen Fortinet ürünlerinden herhangi birini kullanan kuruluşlar, bu güvenlik danışmanlığına öncelik vermeli ve önerilen azaltmaları derhal uygulamalıdır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri