1747992135723.png

📌 Обзор​


Исследователи в области информационной безопасности раскрыли детали критической уязвимости нулевого дняCVE-2025-32756 — которая затрагивает ключевые продукты компании Fortinet. Уязвимость имеет оценку CVSS 9.8 и позволяет неаутентифицированным злоумышленникам выполнять произвольный код путём отправки специально сформированных HTTP-запросов.

📦 Затронутые продукты​

  • FortiVoice (особенно уязвим)
  • FortiMail
  • FortiNDR
  • FortiRecorder
  • FortiCamera

🧠 Суть уязвимости​


Уязвимость связана с переполнением буфера в функции cookieval_unwrap() библиотеки libhttputil.so, используемой в административном API.

🧬 Механизм уязвимости:​

  • Буфер фиксированного размера (16 байт)
  • Отсутствие корректной проверки границ
  • Вредоносный запрос может перезаписать стековые значения, включая:
    • адреса возврата
    • переменные окружения
    • маркеры безопасности

🔥 Атака в реальности​


Fortinet подтвердил, что уязвимость уже эксплуатируется. Атакующие:
  • Активно сканируют устройства в интернете
  • Получают доступ без аутентификации
  • Устанавливают вредоносное ПО
  • Удаляют логи, чтобы скрыть следы
  • Настраивают cron-задания для постоянного сбора данных
  • Крадут учётные записи админов

📜 Пример вредоносного запроса (концептуально)​

Код: 
POST /api/login HTTP/1.1
Host: vulnerable-device.local
Content-Type: application/x-www-form-urlencoded
Content-Length: 256

cookie=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...

(Злоумышленник переполняет буфер с помощью специально сформированного значения cookie).

🛡 Рекомендации​

  1. Срочно ограничьте доступ к административному API извне.
  2. Обновите устройства после выхода патчей.
  3. Используйте EDR/IDS для отслеживания аномальной активности.
  4. Проверьте cron, /tmp/, /dev/, /etc/init.d/ на наличие подозрительных файлов.
  5. Выполните полную ревизию логов и учётных записей.

🗣 Заключение​

CVE-2025-32756 — это одна из самых опасных уязвимостей в инфраструктуре Fortinet за последние годы. Активная эксплуатация уже ведётся, и риски крайне высоки. Особенно под ударом — FortiVoice, используемый в бизнес-телефонии.

Ваша задача — не откладывать защиту на потом.