A Fortinet lançou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução de código remoto que estava sendo explorada como um zero-day em ataques direcionados aos sistemas de telefone empresarial FortiVoice.
A falha de segurança é uma vulnerabilidade de overflow baseada em stack rastreada como
CVE-2025-32756
que também afeta o FortiMail, FortiNDR, FortiRecorder e FortiCamera.
Como a empresa explica em um comunicado de segurança emitido na terça-feira, a exploração bem-sucedida pode permitir que atacantes remotos não autenticados executem código ou comandos arbitrários via solicitações HTTP maliciosamente criadas.
A Equipe de Segurança de Produtos da Fortinet descobriu o
CVE-2025-32756
com base na atividade dos atacantes, incluindo varreduras de rede, exclusão de logs de crash do sistema para ocultar seus rastros e o 'fcgi debugging' sendo ativado para registrar credenciais do sistema ou tentativas de login via SSH.
Como detalhado no comunicado de segurança de hoje, os agentes de ameaças lançaram ataques a partir de meia dúzia de endereços IP, incluindo 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 e 218.187.69[.]59.
Indicadores de comprometimento identificados pela Fortinet durante a análise dos ataques incluem a configuração ‘fcgi debugging’ (que não é ativada por padrão), habilitada em sistemas comprometidos.
Para verificar se essa configuração está ativada em seu sistema, você deve ver "general to-file ENABLED" após executar o seguinte comando: diag debug application fcgi.
Ao investigar esses ataques, a Fortinet observou os agentes de ameaças implementando malware em dispositivos hackeados, adicionando cron jobs projetados para coletar credenciais e despejando scripts para escanear as redes das vítimas.
A empresa também compartilhou conselhos de mitigação para clientes que não podem instalar imediatamente as atualizações de segurança de hoje, o que exige que eles desabilitem a interface administrativa HTTP/HTTPS em dispositivos vulneráveis.
No mês passado, a Shadowserver Foundation descobriu mais de 16.000 dispositivos Fortinet expostos na internet comprometidos usando um novo backdoor symlink que fornece aos agentes de ameaças acesso somente leitura a arquivos sensíveis em dispositivos comprometidos em ataques anteriores.
No início de abril, a Fortinet também alertou sobre uma vulnerabilidade crítica no FortiSwitch que pode ser explorada para alterar senhas de administrador remotamente.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...