Birden fazla Fortinet ürünü etkileyen kritik bir sıfır günlük güvenlik açığı için yeni bir kavram kanıtı (POC) istismar, kurumsal ağ altyapısının güvenliği konusunda acil endişeleri arttırmaktadır.
CVE-2025-32756 olarak izlenen güvenlik açığı, maksimum CVSS skoru 9.8 taşır ve yığın tabanlı bir arabellek taşma kusuru aracılığıyla kimlik doğrulanmamış uzaktan kod yürütülmesini sağlar.
Güvenlik açığı, Authhash çerez parametresinin işlenmesinde mevcuttur. /remote/hostcheck_validate Birkaç Fortinet ürününde uç nokta.
.png
)
Kusur, “ENC” parametresini işlerken uygunsuz sınırların kontrolünden kaynaklanır ve saldırganların kimlik doğrulama kimlik bilgileri gerektirmeden arabellek taşma koşullarını tetiklemesine izin verir.
Python tabanlı istismar, kimliği doğrulanmamış uzaktan kod yürütme elde etmek için yığın tabanlı bir tampon taşmasından yararlanır. Yetersiz biçimli bir HTTP sonrası isteği göndererek çalışır. /remote/hostcheck_validate son nokta, özellikle enc Authhash çerez içinde parametre.
python3 fortinet_cve_2025_32756_poc.py target_ip [-p port] [-d]Etkilenen ürünler arasında Fortivoice, Fortimail, Fortindr, Fortirecorder ve Forticamera Systems bulunmaktadır. Güvenlik açığı, uzak saldırganların özel olarak hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmelerini sağlar ve potansiyel olarak tehlikeye atılan cihazlar üzerinde tam kontrol sağlar.
Aktif sömürü onaylandı
Fortinet, bu kırılganlığın vahşi doğada aktif olarak kullanıldığını ve özellikle Fortivoice kurulumlarını hedefleyen doğruladığını doğruladı.
Şirketin güvenlik ekibi, ağ keşif operasyonları ve sistem günlüğü manipülasyonu da dahil olmak üzere başarılı sömürü girişimlerinin ardından özel tehdit aktör faaliyetleri belirlemiştir.
Gözlemlenen saldırı modelleri, cihaz ağlarının taranması, sistem çökme günlüklerinin sistematik olarak silinmesi ve sistem veya SSH giriş denemelerinden kimlik bilgilerini yakalamak için FCGI hata ayıklama işlevselliğinin etkinleştirilmesini içerir.
Bu faaliyetler, sofistike tehdit aktörlerinin fırsatçı saldırılardan ziyade kapsamlı uzlaşma operasyonları yürüttüğünü göstermektedir.
Güvenlik analistleri, 198.105.127.124, 43.228.217.173, 43.228.217.82, 156.236.76.90, 218.187.69.244 ve 218.187.69.59 ve 218.187.69.59 dahil olmak üzere çeşitli IP adresi tanımlamıştır. Kuruluşlar derhal bu adresleri engellemeli ve bu kaynaklardan gelen bağlantıları izlemelidir.
Saldırganlar, tehlikeye atılan sistemlerde birden fazla kötü amaçlı dosya dağıttılar, /bin/wpad_ac_helper Birincil kötü amaçlı yazılım bileşeni olarak, hassas verileri hasat etmek için değiştirilmiş crontab girişleri ve kötü amaçlı bir kütüphane /lib/libfmlogin.so SSH kimlik bilgilerini yakalamak için tasarlanmıştır. Bu değişiklikler, uzun vadeli erişim bakımını amaçlayan kapsamlı bir kalıcılık stratejisini temsil etmektedir.
Fortinet, etkilenen tüm ürünler için güvenlik yamaları yayınladı. Kuruluşlar derhal aşağıdaki minimum sürümlere güncellenmelidir: Fortivoice 7.2.1+, 7.0.7+ veya 6.4.11+; FortiMail 7.6.3+, 7.4.5+, 7.2.8+ veya 7.0.9+; Fortindr 7.6.1+, 7.4.8+, 7.2.5+ veya 7.0.7+; Fortirecorder 7.2.4+, 7.0.6+ veya 6.4.6+; ve Forticamera 2.1.4+.
Geçici bir çözüm olarak, kuruluşlar etkilenen cihazlarda HTTP/HTTPS yönetim arayüzlerini devre dışı bırakabilir. Bununla birlikte, bu geçici önlem anında yama çabalarının yerini almamalıdır.
Çalışma istismar kodunun mevcudiyeti, açılmamış sistemler için risk profilini önemli ölçüde artırır, bu da ağ güvenliği bütünlüğünü korumak için acil iyileştirmeyi kritik hale getirir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri