Fortinet公司近日披露了一個關(guān)鍵級基于棧的緩沖區(qū)溢出漏洞（CVE-2025-32756），該漏洞影響其安全產(chǎn)品線中的多款產(chǎn)品，且已確認有攻擊者針對FortiVoice系統(tǒng)實施野外利用。

這個CVSS評分為9.6的漏洞允許遠程未認證攻擊者通過特制HTTP請求執(zhí)行任意代碼或命令，可能使攻擊者完全控制受影響設(shè)備。該安全漏洞被歸類為基于棧的緩沖區(qū)溢出，影響FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產(chǎn)品的多個版本。

Fortinet安全研究人員在觀察到針對FortiVoice部署的主動利用嘗試后發(fā)現(xiàn)該漏洞。2025年5月13日官方披露漏洞后，F(xiàn)ortinet立即為所有受影響產(chǎn)品發(fā)布安全補丁。

漏洞詳情

Fortinet安全公告指出："FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產(chǎn)品中存在的基于棧的溢出漏洞[CWE-121]，可能允許遠程未認證攻擊者通過構(gòu)造的HTTP請求執(zhí)行任意代碼或命令。"此類漏洞尤其危險，因為它無需認證即可遠程利用，使攻擊者能完全掌控被入侵系統(tǒng)。

在至少一起已確認的事件中，威脅行為者利用該漏洞入侵FortiVoice系統(tǒng)實施以下惡意操作：

• 掃描內(nèi)網(wǎng)資產(chǎn)
• 啟用FCGI調(diào)試功能竊取憑證
• 清除崩潰日志以銷毀證據(jù)

已觀測的攻擊模式

Fortinet記錄了威脅行為者利用該漏洞攻擊FortiVoice部署的具體活動。觀測到的攻擊模式包括網(wǎng)絡(luò)偵察、故意刪除系統(tǒng)崩潰日志以隱藏惡意活動，以及啟用FCGI調(diào)試功能以捕獲系統(tǒng)憑證或記錄SSH登錄嘗試。

安全研究人員已識別出與這些攻擊相關(guān)的多個入侵指標（IoCs），包括httpd跟蹤日志中的可疑條目、對系統(tǒng)文件的未授權(quán)修改，以及設(shè)計用于外泄敏感信息的惡意cron任務(wù)。已確認6個IP地址與攻擊活動相關(guān)，包括 198.105.127.124 和 218.187.69.244。

FortiVoice零日漏洞(CVE-2025-32756)入侵指標

受影響版本與緩解措施

該漏洞影響Fortinet產(chǎn)品線中的多個版本。FortiVoice 6.4.0至6.4.10、7.0.0至7.0.6以及7.2.0版本均存在風(fēng)險，需立即更新。同樣，F(xiàn)ortiMail（最高7.6.2）、FortiNDR（所有1.x版本和7.6.1之前的7.x版本）、FortiRecorder（最高7.2.3）和FortiCamera（最高2.1.3）的多個版本也受影響。

Fortinet強烈建議客戶盡快更新至最新修補版本。無法立即更新的組織應(yīng)考慮禁用HTTP/HTTPS管理接口的臨時解決方案以降低風(fēng)險。

可以通過以下命令檢測FCGI調(diào)試是否被惡意啟用：

diag debug application fcgi

若返回結(jié)果包含：

general to-file ENABLED

則表明系統(tǒng)可能已遭入侵。

若無法立即安裝補丁，F(xiàn)ortinet建議采取以下臨時措施：

• 禁用HTTP/HTTPS管理接口
• 將管理訪問限制在可信內(nèi)網(wǎng)范圍
• 監(jiān)控受影響設(shè)備是否存在已知入侵指標

此次事件延續(xù)了近年來Fortinet產(chǎn)品頻現(xiàn)安全漏洞的模式。2025年初，F(xiàn)ortinet修補了另一個同樣被野外利用的關(guān)鍵漏洞（CVE-2024-55591）。2022年底，F(xiàn)ortinet曾修復(fù)一個被中俄網(wǎng)絡(luò)間諜組織積極利用的身份驗證繞過漏洞（CVE-2022-40684）。

安全專家強調(diào)，像FortiVoice這樣的網(wǎng)絡(luò)安全設(shè)備因其在企業(yè)網(wǎng)絡(luò)中的特權(quán)地位和對敏感通信的訪問權(quán)限，成為攻擊者的高價值目標。使用任何受影響Fortinet產(chǎn)品的組織應(yīng)優(yōu)先處理此安全公告，立即實施建議的緩解措施。