紧急!Fortinet修复FortiVoice高危零日漏洞,攻击者已野外利用!
1
漏洞详情
Fortinet近日披露了一项关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),CVSS评分高达9.6,攻击者可利用该漏洞通过构造的HTTP请求远程执行任意代码,完全控制受影响设备。该漏洞已确认被野外利用,威胁行为者通过入侵FortiVoice系统实施恶意操作,包括扫描内网资产、窃取凭证、清除日志销毁证据等。
针对 FortiVoice 0 天 (CVE-2025-32756)
| 类别 | 指示符 / 详细信息 | 描述 / 目的 |
|---|---|---|
| 日志条目 | [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection | httpd 日志中指示异常 FastCGI 行为的错误 |
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11 | httpd 跟踪日志中的信号 11(分段错误) | |
| 恶意文件 | /bin/wpad_ac_helper(MD5:4410352e110f82eabc0bf160bec41d21) | 攻击者添加的主要恶意软件文件 |
/bin/busybox(MD5:ebce43017d2cb316ea45e08374de7315、489821c38f429a21e1ea821f8460e590) | 恶意或替换的实用程序 | |
/lib/libfmlogin.so(MD5:364929c45703a84347064e2d5de45bcd) | 用于记录 SSH 凭据的恶意库 | |
/tmp/.sshdpm | 包含恶意库收集的凭据 | |
/bin/fmtest(MD5:2c8834a52faee8d87cff7cd09c4fb946) | 用于扫描网络的脚本 | |
/var/spool/.sync | cron 作业在此处泄露的凭据 | |
| 修改的文件 | /data/etc/crontab | 添加了 Cron 作业,用于从 fcgi.debug grep 敏感数据 |
/var/spool/cron/crontabs/root | Cron 作业已添加到备份 fcgi.debug | |
/etc/pam.d/sshd | 添加了恶意行以加载 libfmlogin.so | |
/etc/httpd.conf | 添加了 load socks5 模块的行 | |
| 恶意设置 | fcgi debug level is 0x80041general to-file ENABLED | 启用 FCGI 调试(非默认);日志凭证 |
| 威胁行为者 IP | 198.105.127.124 43.228.217.173 43.228.217.82 156.236.76.90 218.187.69.244 218.187.69.59 | 在攻击活动中观察到的 IP 地址 |
| 恶意 Cron 作业 | 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每 12 小时从日志中提取一次密码 |
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug> /var/spool/.sync; cat/dev/null >/var/spool/crashlog/fcgi.debug | 每 12 小时备份一次 FCGI 调试日志 |
2
受影响产品及版本
FortiVoice:6.4.0至6.4.10、7.0.0至7.0.6、7.2.0版本
其他受影响产品:FortiMail(最高7.6.2)、FortiNDR(所有1.x版本和7.6.1之前的7.x版本)、FortiRecorder(最高7.2.3)、FortiCamera(最高2.1.3)
3
攻击链分析
攻击者通过以下步骤实施攻击:
1.漏洞利用:构造恶意HTTP请求触发缓冲区溢出,绕过身份验证。
2.内网渗透:扫描内网资产,识别高价值目标。
3.凭证窃取:启用FCGI调试功能,捕获系统凭证或记录SSH登录尝试。
4.日志清除:删除系统崩溃日志,隐藏攻击痕迹。
4
修复方案
立即更新:升级至最新修补版本:
FortiVoice:7.2.1及以上版本
FortiMail:7.6.3及以上版本
FortiNDR:7.6.1及以上版本
FortiRecorder:7.2.4及以上版本
FortiCamera:2.1.4及以上版本
临时措施(无法立即更新时):
禁用HTTP/HTTPS管理接口,限制访问至可信内网。
监控系统日志,检测FCGI调试是否被恶意启用(命令:diag debug application fcgi,若返回general to-file ENABLED则可能已遭入侵)。
5
安全建议
1.最小权限原则:仅允许可信IP访问管理接口。
2.多因素认证(MFA):启用FortiOS本地用户账户的MFA功能。
3.日志审计:定期检查系统日志,关注异常IP或未授权操作。
4.网络隔离:将关键设备部署在隔离区(DMZ),减少暴露面。
