Fortinet merilis pembaruan keamanan untuk menambal kerentanan eksekusi kode jarak jauh kritis yang dieksploitasi sebagai nol hari dalam serangan yang menargetkan sistem telepon perusahaan Fortivoice.
Cacat keamanan adalah kerentanan overflow berbasis tumpukan yang dilacak sebagai CVE-2025-32756 Itu juga berdampak pada FortiMail, Fortindr, Fortirecorder, dan Forticamera.
Seperti yang dijelaskan perusahaan dalam penasihat keamanan yang dikeluarkan pada hari Selasa, eksploitasi yang berhasil dapat memungkinkan penyerang yang tidak aautentikasi jarak jauh untuk melaksanakan kode atau perintah sewenang -wenang melalui permintaan HTTP yang dibuat dengan jahat.
Tim Keamanan Produk Fortinet menemukan CVE-2025-32756 berdasarkan aktivitas penyerang, termasuk pemindaian jaringan, penghapusan sistem crashlogs untuk menutupi trek mereka, dan ‘debugging FCGI’ diubah untuk mencatat kredensial dari sistem atau upaya login SSH.
Sebagaimana dirinci dalam penasihat keamanan hari ini, para aktor ancaman telah melancarkan serangan dari setengah lusin alamat IP, termasuk 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244, dan 218.187.69[.]59.
Indikator kompromi yang terlihat oleh Fortinet selama analisis serangan ‘termasuk pengaturan’ FCGI debugging ‘(yang tidak dihidupkan secara default), diaktifkan pada sistem yang dikompromikan.
Untuk memeriksa apakah pengaturan ini dihidupkan pada sistem Anda, Anda akan melihat “General to-File diaktifkan” setelah menjalankan perintah berikut: diag debug application fcgi.
Saat menyelidiki serangan -serangan ini, Fortinet telah mengamati aktor ancaman yang mengerahkan malware pada perangkat yang diretas, menambahkan pekerjaan cron yang dirancang untuk memanen kredensial, dan menjatuhkan skrip untuk memindai jaringan para korban.
Perusahaan juga berbagi saran mitigasi untuk pelanggan yang tidak dapat segera menginstal pembaruan keamanan saat ini, yang mengharuskan mereka untuk menonaktifkan antarmuka administrasi HTTP/HTTPS pada perangkat yang rentan.
Bulan lalu, The Shadowserver Foundation menemukan lebih dari 16.000 perangkat Fortinet yang terpapar Internet dikompromikan menggunakan backdoor symlink baru yang menyediakan aktor ancaman dengan akses hanya baca ke file sensitif pada perangkat yang sekarang ditandingi yang diretas dalam serangan sebelumnya.
Pada awal April, Fortinet juga Diperingatkan tentang kerentanan fortiswitch yang kritis Itu dapat dieksploitasi untuk mengubah kata sandi administrator dari jarak jauh.
