FortiVoice 零日漏洞遭野外利用執(zhí)行任意代碼
Fortinet公司近日披露了一個(gè)關(guān)鍵級(jí)基于棧的緩沖區(qū)溢出漏洞(CVE-2025-32756),該漏洞影響其安全產(chǎn)品線中的多款產(chǎn)品,且已確認(rèn)有攻擊者針對(duì)FortiVoice系統(tǒng)實(shí)施野外利用。
這個(gè)CVSS評(píng)分為9.6的漏洞允許遠(yuǎn)程未認(rèn)證攻擊者通過特制HTTP請(qǐng)求執(zhí)行任意代碼或命令,可能使攻擊者完全控制受影響設(shè)備。該安全漏洞被歸類為基于棧的緩沖區(qū)溢出,影響FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產(chǎn)品的多個(gè)版本。
Fortinet安全研究人員在觀察到針對(duì)FortiVoice部署的主動(dòng)利用嘗試后發(fā)現(xiàn)該漏洞。2025年5月13日官方披露漏洞后,F(xiàn)ortinet立即為所有受影響產(chǎn)品發(fā)布安全補(bǔ)丁。
漏洞詳情
Fortinet安全公告指出:"FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產(chǎn)品中存在的基于棧的溢出漏洞[CWE-121],可能允許遠(yuǎn)程未認(rèn)證攻擊者通過構(gòu)造的HTTP請(qǐng)求執(zhí)行任意代碼或命令。"此類漏洞尤其危險(xiǎn),因?yàn)樗鼰o需認(rèn)證即可遠(yuǎn)程利用,使攻擊者能完全掌控被入侵系統(tǒng)。
在至少一起已確認(rèn)的事件中,威脅行為者利用該漏洞入侵FortiVoice系統(tǒng)實(shí)施以下惡意操作:
- 掃描內(nèi)網(wǎng)資產(chǎn)
- 啟用FCGI調(diào)試功能竊取憑證
- 清除崩潰日志以銷毀證據(jù)
已觀測(cè)的攻擊模式
Fortinet記錄了威脅行為者利用該漏洞攻擊FortiVoice部署的具體活動(dòng)。觀測(cè)到的攻擊模式包括網(wǎng)絡(luò)偵察、故意刪除系統(tǒng)崩潰日志以隱藏惡意活動(dòng),以及啟用FCGI調(diào)試功能以捕獲系統(tǒng)憑證或記錄SSH登錄嘗試。
安全研究人員已識(shí)別出與這些攻擊相關(guān)的多個(gè)入侵指標(biāo)(IoCs),包括httpd跟蹤日志中的可疑條目、對(duì)系統(tǒng)文件的未授權(quán)修改,以及設(shè)計(jì)用于外泄敏感信息的惡意cron任務(wù)。已確認(rèn)6個(gè)IP地址與攻擊活動(dòng)相關(guān),包括 198.105.127.124 和 218.187.69.244。
FortiVoice零日漏洞(CVE-2025-32756)入侵指標(biāo)
類別 | 指標(biāo)/詳情 | 描述/目的 |
日志條目 | [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection | httpd日志中的錯(cuò)誤,表明FastCGI行為異常 |
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11 | httpd跟蹤日志中的信號(hào)11(段錯(cuò)誤) | |
惡意文件 | /bin/wpad_ac_helper(MD5: 4410352e110f82eabc0bf160bec41d21) | 攻擊者添加的主要惡意文件 |
/bin/busybox(MD5: ebce43017d2cb316ea45e08374de7315, 489821c38f429a21e1ea821f8460e590) | 惡意或被替換的實(shí)用程序 | |
/lib/libfmlogin.so(MD5: 364929c45703a84347064e2d5de45bcd) | 用于記錄SSH憑證的惡意庫(kù) | |
/tmp/.sshdpm | 包含惡意庫(kù)收集的憑證 | |
/bin/fmtest(MD5: 2c8834a52faee8d87cff7cd09c4fb946) | 用于掃描網(wǎng)絡(luò)的腳本 | |
/var/spool/.sync | cron任務(wù)外泄的憑證存儲(chǔ)位置 | |
被修改文件 | /data/etc/crontab | 添加了從fcgi.debug抓取敏感數(shù)據(jù)的cron任務(wù) |
/var/spool/cron/crontabs/root | 添加了備份fcgi.debug的cron任務(wù) | |
/etc/pam.d/sshd | 添加了加載libfmlogin.so的惡意行 | |
/etc/httpd.conf | 添加了加載socks5模塊的行 | |
惡意設(shè)置 | fcgi debug level is 0x80041``general to-file ENABLED | 啟用FCGI調(diào)試(非默認(rèn)設(shè)置);記錄憑證 |
威脅行為者IP | 198.105.127.124 43.228.217.173 43.228.217.82 156.236.76.90 218.187.69.244 218.187.69.59 | 攻擊活動(dòng)中觀測(cè)到的IP地址 |
惡意cron任務(wù) | 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小時(shí)從日志提取密碼 |
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小時(shí)備份FCGI調(diào)試日志 |
受影響版本與緩解措施
該漏洞影響Fortinet產(chǎn)品線中的多個(gè)版本。FortiVoice 6.4.0至6.4.10、7.0.0至7.0.6以及7.2.0版本均存在風(fēng)險(xiǎn),需立即更新。同樣,F(xiàn)ortiMail(最高7.6.2)、FortiNDR(所有1.x版本和7.6.1之前的7.x版本)、FortiRecorder(最高7.2.3)和FortiCamera(最高2.1.3)的多個(gè)版本也受影響。
Fortinet強(qiáng)烈建議客戶盡快更新至最新修補(bǔ)版本。無法立即更新的組織應(yīng)考慮禁用HTTP/HTTPS管理接口的臨時(shí)解決方案以降低風(fēng)險(xiǎn)。
可以通過以下命令檢測(cè)FCGI調(diào)試是否被惡意啟用:
diag debug application fcgi若返回結(jié)果包含:
general to-file ENABLED則表明系統(tǒng)可能已遭入侵。
若無法立即安裝補(bǔ)丁,F(xiàn)ortinet建議采取以下臨時(shí)措施:
- 禁用HTTP/HTTPS管理接口
- 將管理訪問限制在可信內(nèi)網(wǎng)范圍
- 監(jiān)控受影響設(shè)備是否存在已知入侵指標(biāo)
此次事件延續(xù)了近年來Fortinet產(chǎn)品頻現(xiàn)安全漏洞的模式。2025年初,F(xiàn)ortinet修補(bǔ)了另一個(gè)同樣被野外利用的關(guān)鍵漏洞(CVE-2024-55591)。2022年底,F(xiàn)ortinet曾修復(fù)一個(gè)被中俄網(wǎng)絡(luò)間諜組織積極利用的身份驗(yàn)證繞過漏洞(CVE-2022-40684)。
安全專家強(qiáng)調(diào),像FortiVoice這樣的網(wǎng)絡(luò)安全設(shè)備因其在企業(yè)網(wǎng)絡(luò)中的特權(quán)地位和對(duì)敏感通信的訪問權(quán)限,成為攻擊者的高價(jià)值目標(biāo)。使用任何受影響Fortinet產(chǎn)品的組織應(yīng)優(yōu)先處理此安全公告,立即實(shí)施建議的緩解措施。
