Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer basada en pila, identificada como CVE-2025-32756, que afecta a una amplia gama de sus productos de seguridad y red. Con una puntuación CVSS de 9,6, esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios mediante solicitudes HTTP especialmente diseñadas. Fortinet ha confirmado su explotación activa, especialmente en sistemas FortiVoice.

«Una vulnerabilidad de desbordamiento basada en pila [CWE-121] en FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios mediante solicitudes HTTP diseñadas», indica el aviso de Fortinet.

En al menos un incidente confirmado, los actores de amenazas explotaron la vulnerabilidad CVE-2025-32756 en un sistema FortiVoice para obtener acceso no autorizado. Los atacantes ejecutaron diversas acciones maliciosas:

  • Escanearon redes internas.
  • Habilitaron la depuración de FCGI para recopilar credenciales.
  • Borraron registros de fallos para ocultar pruebas.

Los siguientes productos de Fortinet son vulnerables si no se actualizan a las versiones especificadas o superiores:

  • FortiVoice: versiones 6.4.0–6.4.10, 7.0.0–7.0.6 y 7.2.0.
  • FortiMail: versiones hasta la 7.6.2.
  • FortiNDR: todas las versiones 1.x y versiones 7.x anteriores a la 7.6.1.
  • FortiRecorder: versiones hasta la 7.2.3.
  • FortiCamera: versiones hasta la 2.1.3.

Se recomienda encarecidamente a los usuarios que actualicen inmediatamente a las versiones con parches que se indican en el aviso o que migren a versiones corregidas.

Fortinet proporcionó una lista completa de archivos, procesos y registros asociados con explotaciones conocidas:

  • Archivos modificados o añadidos, como /bin/wpad_ac_helper/lib/libfmlogin.so y /tmp/.sshdpm, utilizados para registrar y exfiltrar credenciales.
  • Trabajos cron añadidos para extraer contraseñas de los registros de depuración.

Las direcciones IP de los actores de amenazas incluyen:

  • 198.105.127[.124
  • 43.228.217[.173
  • 156.236.76[.90
  • 218.187.69[.244

Para verificar que la depuración de FCGI esté habilitada maliciosamente:

diag debug application fcgi

Si el resultado incluye: general to-file ENABLED esto es un fuerte indicador de vulnerabilidad.

Si no es posible aplicar parches de inmediato, Fortinet recomienda:

  • Deshabilitar las interfaces administrativas HTTP/HTTPS
  • Restringir el acceso administrativo a redes internas de confianza
  • Monitorear los dispositivos afectados para detectar IoC conocidos

Fuente y redacción: segu-info.com.ar

Compartir