شرکت Fortinet گزارش داده است که کد مفهومی (Proof-of-Concept یا PoC) برای یک آسیبپذیری روز صفر با شدت بحرانی که منجر به اجرای کد از راه دور در Fortinet در چندین محصول این شرکت منتشر شده است. این امر نگرانیهای جدی درباره امنیت زیرساختهای شبکه سازمانی ایجاد کرده است. آسیبپذیری مذکور، با شناسه CVE-2025-32756 و امتیاز حداکثر CVSS برابر با 9.8، امکان اجرای کد بدون نیاز به احراز هویت را از طریق نقص سرریز بافر مبتنی بر پشته فراهم میسازد.
جزئیات فنی آسیبپذیری CVE-2025-32756(اجرای کد از راه دور در Fortinet)
این آسیبپذیری در فرآیند پردازش پارامتر کوکی AuthHash در اندپوینت /remote/hostcheck_validate در محصولات متعدد Fortinet وجود دارد. نقص از عدم بررسی کافی محدودهها هنگام پردازش پارامتر enc ناشی میشود، که به مهاجمان اجازه میدهد شرایط سرریز بافر را بدون نیاز به اعتبار احراز هویت ایجاد کنند.
کد اکسپلویت مبتنی بر زبان Python از سرریز بافر مبتنی بر پشته برای اجرای کد بدون احراز هویت بهره میبرد. این کد با ارسال درخواست HTTP POST دستکاریشده به اندپوینت /remote/hostcheck_validate عمل میکند و بهویژه پارامتر enc در کوکی AuthHash را دستکاری مینماید:
python3 fortinet_cve_2025_32756_poc.py target_ip [-p port] [-d]
محصولات آسیبپذیر شامل FortiVoice، FortiMail، FortiNDR، FortiRecorder و FortiCamera هستند. این آسیبپذیری به مهاجمان راهدور امکان میدهد با استفاده از درخواستهای HTTP دستکاریشده، کد یا دستورات دلخواه را اجرا کنند و بهطور بالقوه کنترل کامل دستگاههای آلوده را به دست آورند.
شواهد اکسپلویت فعال
شرکت Fortinet تأیید کرده است که این آسیبپذیری بهصورت فعال در دنیای واقعی، بهویژه علیه دستگاه های نصب شده FortiVoice، تحت اکسپلویت قرار گرفته است. تیم امنیتی این شرکت فعالیتهای خاصی از مهاجمان را پس از اکسپلویت های موفق، مانند عملیات شناسایی شبکه و دستکاری گزارشهای سیستم، شناسایی کرده است.
الگوهای حمله مشاهدهشده شامل اسکن شبکههای دستگاه، حذف سیستماتیک گزارشهای خرابی سیستم و فعالسازی قابلیت دیباگ fcgi برای ثبت اطلاعات کاربری از تلاشهای ورود به سیستم یا SSH است. این فعالیتها نشاندهنده عملیات پیچیدهای برای نفوذ جامع، بهجای حملات فرصتطلبانه، میباشد.
مهاجمان فایلهای مخرب متعددی را روی سیستمهای آلوده مستقر کردهاند، از جمله:
- /bin/wpad_ac_helper بهعنوان جزء اصلی بدافزار
- تغییرات در ورودیهای crontab برای جمعآوری دادههای حساس
- کتابخانه مخرب /lib/libfmlogin.so برای ثبت اطلاعات کاربری SSH
این تغییرات نشاندهنده استراتژیای برای حفظ دسترسی طولانیمدت است.
توصیههای امنیتی
شرکت Fortinet پچهای امنیتی برای تمامی محصولات آسیبپذیر منتشر کرده است. سازمانها باید فورا به نسخههای زیر بهروزرسانی کنند:
- FortiVoice: نسخههای 7.2.1 و بالاتر، 7.0.7 و بالاتر یا 6.4.11 و بالاتر
- FortiMail: نسخههای 7.6.3 و بالاتر، 7.4.5 و بالاتر، 7.2.8 و بالاتر یا 7.0.9 و بالاتر
- FortiNDR: نسخههای 7.6.1 و بالاتر، 7.4.8 و بالاتر، 7.2.5 و بالاتر یا 7.0.7 و بالاتر
- FortiRecorder: نسخههای 7.2.4 و بالاتر، 7.0.6 و بالاتر یا 6.4.6 و بالاتر
- FortiCamera: نسخههای 2.1.4 و بالاتر
بهعنوان راهکار موقت، سازمانها میتوانند رابطهای مدیریتی HTTP/HTTPS را روی دستگاههای آسیبپذیر غیرفعال کنند. با این حال، این اقدام نباید جایگزین بهروزرسانی فوری شود. انتشار کد اکسپلویت فعال، خطر برای سیستمهای پچنشده را به شدت افزایش داده است. اصلاح فوری برای حفظ امنیت شبکه ضروری تلقی میشود.
همچنین، تحلیلگران امنیتی چندین آدرس IP مرتبط با مهاجمان را شناسایی کردهاند که شامل 198.105.127.124، 43.228.217.173، 43.228.217.82، 156.236.76.90، 218.187.69.244 و 218.187.69.59 است. سازمانها باید فورا این آدرسها را مسدود کرده و ارتباطات از این منابع را نظارت کنند.
