Novi proof-of-concept (PoC) iskorištavanje kritične zero-day ranjivosti koja pogađa više Fortinet proizvoda izaziva hitnu zabrinutost u vezi sa sigurnošću mrežne infrastrukture preduzeća.
Ranjivost, praćena kao CVE-2025-32756 , nosi maksimalni CVSS rezultat od 9,8 i omogućava neautentificirano udaljeno izvršavanje koda putem greške prelijevanja bafera na bazi steka.
Ranjivost postoji u obradi parametra kolačića AuthHash unutar /remote/hostcheck_validatekrajnje tačke na nekoliko Fortinet proizvoda.
Greška proizlazi iz nepravilne provjere granica prilikom rukovanja parametrom “enc”, što omogućava napadačima da pokrenu uslove prepunjenja bafera bez potrebe za autentifikacijskim podacima.
Python-bazirani exploit koristi prelijevanje bafera na bazi steka kako bi postigao neautentificirano udaljeno izvršavanje koda. Funkcioniše slanjem neispravnog HTTP POST zahtjeva krajnjoj /remote/hostcheck_validate tački, posebno manipulišući enc parametrom unutar AuthHash kolačića.
python3 fortinet_cve_2025_32756_poc.py target_ip [-p port] [-d]Pogođeni proizvodi uključuju sisteme FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera. Ranjivost omogućava udaljenim napadačima izvršavanje proizvoljnog koda ili naredbi putem posebno kreiranih HTTP zahtjeva, što im potencijalno daje potpunu kontrolu nad kompromitovanim uređajima.
Potvrđena aktivna eksploatacija
Fortinet je potvrdio da se ova ranjivost aktivno iskorišćava, posebno usmjerena na FortiVoice instalacije.
Sigurnosni tim kompanije je nakon uspješnih pokušaja eksploatacije identifikovao specifične aktivnosti prijetnji, uključujući operacije izviđanja mreže i manipulaciju sistemskim logom.
Uočeni obrasci napada uključuju skeniranje mreža uređaja, sistematsko brisanje zapisa o padovima sistema i omogućavanje fcgi funkcionalnosti za otklanjanje grešaka radi prikupljanja podataka iz pokušaja prijave na sistem ili SSH.
Ove aktivnosti ukazuju na to da sofisticirani hakeri provode sveobuhvatne operacije kompromitovanja podataka, a ne oportunističke napade.
Sigurnosni analitičari su identifikovali nekoliko IP adresa povezanih s napadačkim hakerima, uključujući 198.105.127.124, 43.228.217.173, 43.228.217.82, 156.236.76.90, 218.187.69.244 i 218.187.69.59. Organizacije bi trebale odmah blokirati ove adrese i pratiti veze iz tih izvora.
Napadači su instalirali više malicioznih datoteka na kompromitovanim sistemima, uključujući /bin/wpad_ac_helper, kao primarnu komponentu malicioznog softvera, modifikovane unose crontab-a za prikupljanje osjetljivih podataka i malicioznu biblioteku /lib/libfmlogin.sodizajniranu za hvatanje SSH akreditiva . Ove modifikacije predstavljaju sveobuhvatnu strategiju perzistencije usmjerenu na dugoročno održavanje pristupa.
Fortinet je objavio sigurnosne zakrpe za sve pogođene proizvode. Organizacije moraju odmah ažurirati na sljedeće minimalne verzije: FortiVoice 7.2.1+, 7.0.7+ ili 6.4.11+; FortiMail 7.6.3+, 7.4.5+, 7.2.8+ ili 7.0.9+; FortiNDR 7.6.1+, 7.4.8+, 7.2.5+ ili 7.0.7+; FortiRecorder 7.2.4+, 7.0.6+ ili 6.4.6+; i FortiCamera 2.1.4+.
Kao privremeno rješenje, organizacije mogu onemogućiti HTTP/HTTPS administrativne interfejse na pogođenim uređajima. Međutim, ova privremena mjera ne bi trebala zamijeniti hitne napore za instaliranje zakrpa.
Dostupnost radnog koda za iskorišćavanje značajno povećava profil rizika za nezakrpljene sisteme, što hitnu sanaciju čini ključnom za održavanje integriteta mrežne sigurnosti.
Izvor: CyberSecurityNews
