یک PoC Exploit برای آسیبپذیری بحرانی zero-day با شناسه CVE-2025-32756 منتشر شده است که چندین محصول Fortinet از جمله FortiVoice، FortiMail، FortiNDR، FortiRecorder و FortiCamera را تحت تأثیر قرار میدهد. این آسیبپذیری با امتیاز ۹٫۸ CVSS، امکان اجرای کد از راه دور (Remote Code Execution) بدون نیاز به احراز هویت را از طریق یک نقص Stack-Based Buffer Overflow فراهم میکند. این نقص از عدم بررسی صحیح دادهها هنگام پردازش پارامتر enc در کوکی AuthHash و در مسیر remote/hostcheck_validate ناشی میشود. مهاجم میتواند با ارسال یک درخواست HTTP POST دستکاری شده، بدون نیاز به احراز هویت، کنترل کامل دستگاه آسیبپذیر را به دست آورد. کد PoC منتشرشده با زبان Python نوشته شده و امکان بهرهبرداری از این آسیبپذیری را فراهم میسازد. Fortinet تأیید کرده که این آسیبپذیری در حملات واقعی مورد سوءاستفاده قرار گرفته است.
شواهد بهرهبرداری فعال
طبق گزارش تیم امنیتی Fortinet، مهاجمان پس از نفوذ موفق اقدام به انجام عملیات reconnaissance در شبکه، حذف لاگهای crash سیستم و فعالسازی fcgi debugging به منظور سرقت اطلاعات احراز هویت کردهاند. همچنین فایلها و کتابخانههای مخربی به سیستمهای قربانی تزریق شدهاند که هدف آنها حفظ دسترسی بلندمدت و سرقت SSH credentials بوده است.
برخی از آدرسهای IP شناساییشده در ارتباط با این حملات عبارتاند از:
- ۱۹۸٫۱۰۵٫۱۲۷٫۱۲۴
- ۴۳٫۲۲۸٫۲۱۷٫۱۷۳
- ۴۳٫۲۲۸٫۲۱۷٫۸۲
- ۱۵۶٫۲۳۶٫۷۶٫۹۰
- ۲۱۸٫۱۸۷٫۶۹٫۲۴۴
- ۲۱۸٫۱۸۷٫۶۹٫۵۹
سازمانها باید بلافاصله این آدرسهای IP را مسدود کرده و نظارت و بررسی دقیقی بر ترافیک شبکه و سیستمهای خود انجام دهند.
راهکارهای حفاظتی و به روزرسانیهای منتشرشده
Fortinet برای مقابله با این آسیبپذیری، به روزرسانیهایی را منتشر کرده است و توصیه میکند محصولات آسیبپذیر فوراً به نسخههای زیر ارتقاء یابند:
- FortiVoice: نسخههای ۷٫۲٫۱ یا بالاتر، ۷٫۰٫۷ یا بالاتر، یا ۶٫۴٫۱۱ یا بالاتر
- FortiMail: نسخههای ۷٫۶٫۳، ۷٫۴٫۵، ۷٫۲٫۸ یا ۷٫۰٫۹
- FortiNDR: نسخههای ۷٫۶٫۱، ۷٫۴٫۸، ۷٫۲٫۵ یا ۷٫۰٫۷
- FortiRecorder: نسخههای ۷٫۲٫۴، ۷٫۰٫۶ یا ۶٫۴٫۶
- FortiCamera: نسخه ۲٫۱٫۴ یا بالاتر
به عنوان یک اقدام موقت، میتوان دسترسی به رابطهای مدیریتی HTTP/HTTPS را در دستگاههای آسیبپذیر غیرفعال کرد؛ اما این راهکار صرفاً موقتی است و به هیچ وجه نباید جایگزین به روزرسانی و نصب پچهای امنیتی رسمی شود.
منبع: cybersecuritynews.com
