Güvenlik araştırmacıları, tehdit aktörleri aktif olarak gerçek dünya saldırılarında kusurdan yararlanmaya devam ettikçe, birden fazla Fortinet ürünü etkileyen kritik bir sıfır günlük güvenlik açığı için ayrıntılı kavram kanıtı (POC) analizi yayınladılar.
CVE-2025-32756 olarak izlenen güvenlik açığı, 10 üzerinden 9,6 CVSS puanı ile önemli bir güvenlik riskini temsil eder.
Güvenlik açığı, yönetici API’sında, uzaktan bilgisiz saldırganların özel hazırlanmış HTTP istekleri aracılığıyla keyfi kod yürütmesine izin veren yığın tabanlı bir tampon taşmasıdır.
.png
)
Kusur, beş büyük Fortinet ürün hattını etkiler: Fortivoice, FortiMail, Fortindr, Fortirecorder ve Forticamera birden fazla sürümde.
Aktif sömürü altında güvenlik açığı
Horizon3 Güvenlik Araştırmacıları tarafından yayınlanan ayrıntılı teknik analiz, güvenlik açığının APSCOOKIE değerlerinin işlenmesi sırasında uygunsuz sınırların kontrolünden kaynaklandığını ortaya koymaktadır. cookieval_unwrap() içindeki işlev libhttputil.so kütüphane.
Araştırmacılar, yamalı sürümlerin Authhash değerlerini sınırlayan boyut kontrolleri içermesine rağmen, savunmasız sürümlerin saldırganların 16 baytlık bir çıktı arabelleğini taşmasına ve dönüş adresi de dahil olmak üzere kritik yığın değerlerinin üzerine yazmasına izin verdiğini keşfettiler.
Fortinet, tehdit aktörlerinin vahşi doğadaki bu kırılganlığı aktif olarak kullandığını ve özellikle Fortivoice birleşik iletişim sistemlerini hedeflediğini doğruladı.
Şirketin ürün güvenlik ekibi, ağ taraması, kimlik bilgisi hasat ve günlük dosyası manipülasyonunu içeren gözlemlenen tehdit faaliyeti yoluyla sömürüyü keşfetti.
Fortinet’in uzlaşma göstergelerine (IOCS) göre, saldırganların cihaz ağı taramaları yürüttüğü, sistem çökme günlüklerinin silinmesi ve SSH girişleri de dahil olmak üzere kimlik doğrulama denemelerini yakalamasını sağlayan ‘FCGI hata ayıklama’ sağladığı gözlendi. Tehdit aktörleri ayrıca, devam eden kimlik bilgisi hırsızlığı için kötü amaçlı yazılımlar ve Cron Jobs’u kurdu.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Fortinet’in ilk danışmanından sadece bir gün sonra, 14 Mayıs 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2025-32756 ekledi. Bu atama, federal ajansların 4 Haziran 2025’e kadar kırılganlığı gidermesini ve tehdidin aciliyetini vurgulamasını gerektirir.
KEV kataloğuna hızlı eklenmesi, aktif sömürünün şiddetini ve Fortinet’in güvenlik ve iletişim altyapısına dayanan kurumsal ortamlar arasında yaygın etki potansiyelini yansıtır.
Güvenlik uzmanları, etkilenen tüm ürünlerde sabit sürümlere anında yükseltmeler önermektedir. Hemen yama yapamayan kuruluşlar için Fortinet, HTTP/HTTPS yönetim arayüzünün devre dışı bırakılmasını içeren bir çözüm sağlar.
Etkilenen ürün sürümleri belirli sabit sürümlere güncellemeler gerektirir: Fortivoice sistemleri, mevcut dala bağlı olarak 7.2.1, 7.0.7 veya 6.4.11 sürümlerine yükseltilmelidir, FortiMail 7.6.3, 7.4.5, 7.2.8 veya 7.0.9’a güncellemeler gerektirir.
Bu, CISA’nın KEV listesine eklenecek on sekizinci Fortinet güvenlik açığını işaret ederek Fortinet ürünlerinin tehdit aktörleri tarafından sürekli hedeflenmesini gösteriyor.
Aktif sömürü, teknik POC kullanılabilirliği ve etkilenen işletme altyapısının kritik doğası, bu ürünleri kullanan kuruluşlardan derhal ilgi gerektiren acil bir güvenlik durumu yaratır.
Teknik detayların sömürü ve kullanılabilirliği kolaylığı göz önüne alındığında, güvenlik profesyonelleri ek tehdit aktörlerinin önümüzdeki günlerde savunmasız sistemleri hedeflemeye başlayabileceklerini tahmin ediyorlar.
SOC ekibinizi daha hızlı yanıt için derin tehdit analiziyle donatın -> Ücretsiz ekstra sanalbox lisansları alın