A Fortinet lançou atualizações de segurança para corrigir uma vulnerabilidade crítica de execução de código remoto que estava sendo explorada como um zero-day em ataques direcionados aos sistemas de telefone empresarial FortiVoice.
A falha de segurança é uma vulnerabilidade de overflow baseada em stack rastreada como
CVE-2025-32756
que também afeta o FortiMail, FortiNDR, FortiRecorder e FortiCamera.
Como a empresa explica em um comunicado de segurança emitido na terça-feira, a exploração bem-sucedida pode permitir que atacantes remotos não autenticados executem código ou comandos arbitrários via solicitações HTTP maliciosamente criadas.
A Equipe de Segurança de Produtos da Fortinet descobriu o
CVE-2025-32756
com base na atividade dos atacantes, incluindo varreduras de rede, exclusão de logs de crash do sistema para ocultar seus rastros e o 'fcgi debugging' sendo ativado para registrar credenciais do sistema ou tentativas de login via SSH.
Como detalhado no comunicado de segurança de hoje, os agentes de ameaças lançaram ataques a partir de meia dúzia de endereços IP, incluindo 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 e 218.187.69[.]59.
Indicadores de comprometimento identificados pela Fortinet durante a análise dos ataques incluem a configuração ‘fcgi debugging’ (que não é ativada por padrão), habilitada em sistemas comprometidos.
Para verificar se essa configuração está ativada em seu sistema, você deve ver "general to-file ENABLED" após executar o seguinte comando: diag debug application fcgi.
Ao investigar esses ataques, a Fortinet observou os agentes de ameaças implementando malware em dispositivos hackeados, adicionando cron jobs projetados para coletar credenciais e despejando scripts para escanear as redes das vítimas.
A empresa também compartilhou conselhos de mitigação para clientes que não podem instalar imediatamente as atualizações de segurança de hoje, o que exige que eles desabilitem a interface administrativa HTTP/HTTPS em dispositivos vulneráveis.
No mês passado, a Shadowserver Foundation descobriu mais de 16.000 dispositivos Fortinet expostos na internet comprometidos usando um novo backdoor symlink que fornece aos agentes de ameaças acesso somente leitura a arquivos sensíveis em dispositivos comprometidos em ataques anteriores.
No início de abril, a Fortinet também alertou sobre uma vulnerabilidade crítica no FortiSwitch que pode ser explorada para alterar senhas de administrador remotamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...