FortiVoice 零日漏洞遭野外利用執行任意代碼
Fortinet公司近日披露了一個關鍵級基于棧的緩沖區溢出漏洞(CVE-2025-32756),該漏洞影響其安全產品線中的多款產品,且已確認有攻擊者針對FortiVoice系統實施野外利用。
這個CVSS評分為9.6的漏洞允許遠程未認證攻擊者通過特制HTTP請求執行任意代碼或命令,可能使攻擊者完全控制受影響設備。該安全漏洞被歸類為基于棧的緩沖區溢出,影響FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產品的多個版本。
Fortinet安全研究人員在觀察到針對FortiVoice部署的主動利用嘗試后發現該漏洞。2025年5月13日官方披露漏洞后,Fortinet立即為所有受影響產品發布安全補丁。
漏洞詳情
Fortinet安全公告指出:"FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera產品中存在的基于棧的溢出漏洞[CWE-121],可能允許遠程未認證攻擊者通過構造的HTTP請求執行任意代碼或命令。"此類漏洞尤其危險,因為它無需認證即可遠程利用,使攻擊者能完全掌控被入侵系統。
在至少一起已確認的事件中,威脅行為者利用該漏洞入侵FortiVoice系統實施以下惡意操作:
- 掃描內網資產
- 啟用FCGI調試功能竊取憑證
- 清除崩潰日志以銷毀證據
已觀測的攻擊模式
Fortinet記錄了威脅行為者利用該漏洞攻擊FortiVoice部署的具體活動。觀測到的攻擊模式包括網絡偵察、故意刪除系統崩潰日志以隱藏惡意活動,以及啟用FCGI調試功能以捕獲系統憑證或記錄SSH登錄嘗試。
安全研究人員已識別出與這些攻擊相關的多個入侵指標(IoCs),包括httpd跟蹤日志中的可疑條目、對系統文件的未授權修改,以及設計用于外泄敏感信息的惡意cron任務。已確認6個IP地址與攻擊活動相關,包括 198.105.127.124 和 218.187.69.244。
FortiVoice零日漏洞(CVE-2025-32756)入侵指標
類別 | 指標/詳情 | 描述/目的 |
日志條目 | [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection | httpd日志中的錯誤,表明FastCGI行為異常 |
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11 | httpd跟蹤日志中的信號11(段錯誤) | |
惡意文件 | /bin/wpad_ac_helper(MD5: 4410352e110f82eabc0bf160bec41d21) | 攻擊者添加的主要惡意文件 |
/bin/busybox(MD5: ebce43017d2cb316ea45e08374de7315, 489821c38f429a21e1ea821f8460e590) | 惡意或被替換的實用程序 | |
/lib/libfmlogin.so(MD5: 364929c45703a84347064e2d5de45bcd) | 用于記錄SSH憑證的惡意庫 | |
/tmp/.sshdpm | 包含惡意庫收集的憑證 | |
/bin/fmtest(MD5: 2c8834a52faee8d87cff7cd09c4fb946) | 用于掃描網絡的腳本 | |
/var/spool/.sync | cron任務外泄的憑證存儲位置 | |
被修改文件 | /data/etc/crontab | 添加了從fcgi.debug抓取敏感數據的cron任務 |
/var/spool/cron/crontabs/root | 添加了備份fcgi.debug的cron任務 | |
/etc/pam.d/sshd | 添加了加載libfmlogin.so的惡意行 | |
/etc/httpd.conf | 添加了加載socks5模塊的行 | |
惡意設置 | fcgi debug level is 0x80041``general to-file ENABLED | 啟用FCGI調試(非默認設置);記錄憑證 |
威脅行為者IP | 198.105.127.124 43.228.217.173 43.228.217.82 156.236.76.90 218.187.69.244 218.187.69.59 | 攻擊活動中觀測到的IP地址 |
惡意cron任務 | 0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小時從日志提取密碼 |
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug | 每12小時備份FCGI調試日志 |
受影響版本與緩解措施
該漏洞影響Fortinet產品線中的多個版本。FortiVoice 6.4.0至6.4.10、7.0.0至7.0.6以及7.2.0版本均存在風險,需立即更新。同樣,FortiMail(最高7.6.2)、FortiNDR(所有1.x版本和7.6.1之前的7.x版本)、FortiRecorder(最高7.2.3)和FortiCamera(最高2.1.3)的多個版本也受影響。
Fortinet強烈建議客戶盡快更新至最新修補版本。無法立即更新的組織應考慮禁用HTTP/HTTPS管理接口的臨時解決方案以降低風險。
可以通過以下命令檢測FCGI調試是否被惡意啟用:
diag debug application fcgi若返回結果包含:
general to-file ENABLED則表明系統可能已遭入侵。
若無法立即安裝補丁,Fortinet建議采取以下臨時措施:
- 禁用HTTP/HTTPS管理接口
- 將管理訪問限制在可信內網范圍
- 監控受影響設備是否存在已知入侵指標
此次事件延續了近年來Fortinet產品頻現安全漏洞的模式。2025年初,Fortinet修補了另一個同樣被野外利用的關鍵漏洞(CVE-2024-55591)。2022年底,Fortinet曾修復一個被中俄網絡間諜組織積極利用的身份驗證繞過漏洞(CVE-2022-40684)。
安全專家強調,像FortiVoice這樣的網絡安全設備因其在企業網絡中的特權地位和對敏感通信的訪問權限,成為攻擊者的高價值目標。使用任何受影響Fortinet產品的組織應優先處理此安全公告,立即實施建議的緩解措施。
