FortiVoice 零日漏洞遭野外利用执行任意代码
我要评论Fortinet公司近日披露了一个关键级基于栈的零日漏洞缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的遭野多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。外利
这个CVSS评分为9.6的用执意代漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命令,可能使攻击者完全控制受影响设备。行任该安全漏洞被归类为基于栈的零日漏洞缓冲区溢出,影响FortiVoice、遭野FortiMail、外利FortiNDR、用执意代FortiRecorder和FortiCamera产品的行任多个版本。
Fortinet安全研究人员在观察到针对FortiVoice部署的零日漏洞主动利用尝试后发现该漏洞。2025年5月13日官方披露漏洞后,遭野Fortinet立即为所有受影响产品发布安全补丁。外利
Fortinet安全公告指出:"FortiVoice、用执意代FortiMail、行任FortiNDR、FortiRecorder和FortiCamera产品中存在的基于栈的溢出漏洞[CWE-121],可能允许远程未认证攻击者通过构造的HTTP请求执行任意代码或命令。"此类漏洞尤其危险,因为它无需认证即可远程利用,使攻击者能完全掌控被入侵系统。
在至少一起已确认的事件中,威胁行为者利用该漏洞入侵FortiVoice系统实施以下恶意操作:
扫描内网资产启用FCGI调试功能窃取凭证清除崩溃日志以销毁证据已观测的攻击模式Fortinet记录了威胁行为者利用该漏洞攻击FortiVoice部署的企商汇具体活动。观测到的攻击模式包括网络侦察、故意删除系统崩溃日志以隐藏恶意活动,以及启用FCGI调试功能以捕获系统凭证或记录SSH登录尝试。
安全研究人员已识别出与这些攻击相关的多个入侵指标(IoCs),包括httpd跟踪日志中的可疑条目、对系统文件的未授权修改,以及设计用于外泄敏感信息的恶意cron任务。已确认6个IP地址与攻击活动相关,包括 198.105.127.124 和 218.187.69.244。
FortiVoice零日漏洞(CVE-2025-32756)入侵指标类别
指标/详情
描述/目的
日志条目
[fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection
httpd日志中的错误,表明FastCGI行为异常
[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11
httpd跟踪日志中的信号11(段错误)
恶意文件
/bin/wpad_ac_helper(MD5: 4410352e110f82eabc0bf160bec41d21)
攻击者添加的主要恶意文件
/bin/busybox(MD5: ebce43017d2cb316ea45e08374de7315, 489821c38f429a21e1ea821f8460e590)
恶意或被替换的实用程序
/lib/libfmlogin.so(MD5: 364929c45703a84347064e2d5de45bcd)
用于记录SSH凭证的恶意库
/tmp/.sshdpm
包含恶意库收集的凭证
/bin/fmtest(MD5: 2c8834a52faee8d87cff7cd09c4fb946)
用于扫描网络的脚本
/var/spool/.sync
cron任务外泄的凭证存储位置
被修改文件
/data/etc/crontab
添加了从fcgi.debug抓取敏感数据的cron任务
/var/spool/cron/crontabs/root
添加了备份fcgi.debug的cron任务
/etc/pam.d/sshd
添加了加载libfmlogin.so的恶意行
/etc/httpd.conf
添加了加载socks5模块的行
恶意设置
fcgi debug level is 0x80041``general to-file ENABLED
启用FCGI调试(非默认设置);记录凭证
威胁行为者IP
198.105.127.124
43.228.217.173
43.228.217.82
156.236.76.90
218.187.69.244
218.187.69.59
攻击活动中观测到的IP地址
恶意cron任务
0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug
每12小时从日志提取密码
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug
每12小时备份FCGI调试日志
受影响版本与缓解措施该漏洞影响Fortinet产品线中的多个版本。FortiVoice 6.4.0至6.4.10、香港云服务器7.0.0至7.0.6以及7.2.0版本均存在风险,需立即更新。同样,FortiMail(最高7.6.2)、FortiNDR(所有1.x版本和7.6.1之前的7.x版本)、FortiRecorder(最高7.2.3)和FortiCamera(最高2.1.3)的多个版本也受影响。
Fortinet强烈建议客户尽快更新至最新修补版本。无法立即更新的组织应考虑禁用HTTP/HTTPS管理接口的临时解决方案以降低风险。
可以通过以下命令检测FCGI调试是否被恶意启用:
复制diag debug application fcgi1.若返回结果包含:
复制general to-file ENABLED1.则表明系统可能已遭入侵。
若无法立即安装补丁,Fortinet建议采取以下临时措施:
禁用HTTP/HTTPS管理接口将管理访问限制在可信内网范围监控受影响设备是否存在已知入侵指标此次事件延续了近年来Fortinet产品频现安全漏洞的模式。2025年初,Fortinet修补了另一个同样被野外利用的关键漏洞(CVE-2024-55591)。2022年底,Fortinet曾修复一个被中俄网络间谍组织积极利用的身份验证绕过漏洞(CVE-2022-40684)。
安全专家强调,像FortiVoice这样的网络安全设备因其在企业网络中的特权地位和对敏感通信的访问权限,成为攻击者的高价值目标。使用任何受影响Fortinet产品的组织应优先处理此安全公告,服务器托管立即实施建议的缓解措施。
相关文章
- 摘要:《绝地求生:大逃杀》是一款备受玩家喜爱的网络游戏,而在游戏中,提高自己的吃鸡比例成为很多玩家的目标。通过电脑的一些调整和修改,可以帮助玩家快速提升游戏胜率。本文将为大家介绍如何使用...2025-11-04
介绍 现代浏览器具有内置的开发工具,可与 JavaScript 和其他 Web 技术一起使用。这些工具包括类似于 shell 界面的控制台,以及检查 DOM、调试和分析网络活动的工具。2025-11-04
本文让你重新理解并审视那些流行的优化建议,并在实际业务场景下合理的运用。说起 MySQL 的查询优化,相信大家收藏了一堆奇技淫巧:不能使用 SELECT *、不使用 NULL 字段、合理创建索引、为字2025-11-04
知识点今天给大家分享一个知识点,那就是平时我们写好的 Java 代码,他是如何运行起来的,以及他运行起来以后是如何变成 JVM 进程的?然后 JVM 进程又是如何运行我们写的代码2025-11-04世界最佳杀毒软件是什么?(揭秘最强大的杀毒软件,保护你的计算机安全!)
摘要:在互联网时代,计算机病毒成为了一个不可忽视的威胁。为了保护我们的计算机免受病毒的侵害,选择一款优秀的杀毒软件非常重要。本文将带您揭秘世界上最好的杀毒软件,并分析其优势和特点,帮助您...2025-11-04
由于数据库领域仍相对不成熟,每个平台上的 SQL 开发人员都在苦苦挣扎,一次又一次犯同样的错误。当然,数据库厂商在取得一些进展,并继续在竭力处理较重大的问题。无论 SQL 开发人员在 SQL Serv2025-11-04
最新评论