Fortinet ha emitido una alerta de seguridad urgente sobre una vulnerabilidad crítica identificada como CVE-2025-32756, con una puntuación CVSS de 9.6. El fallo corresponde a un desbordamiento de búfer basado en pila (CWE-121) presente en múltiples soluciones de red y seguridad de la compañía. Lo más preocupante: ya está siendo explotado activamente en el entorno real, con múltiples reportes de compromiso, especialmente en sistemas FortiVoice.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad permite a un atacante remoto y no autenticado ejecutar código arbitrario en los dispositivos afectados a través de solicitudes HTTP especialmente diseñadas, explotando directamente funciones que manejan cadenas sin validación adecuada del tamaño del búfer en la pila. En concreto, se ha identificado que el fallo reside en funciones internas que procesan encabezados HTTP sin realizar validaciones de longitud, permitiendo sobrescribir la pila y redirigir el flujo de ejecución.

Productos y versiones afectadas

La vulnerabilidad afecta a los siguientes productos si no se actualizan a las versiones con parches:

• FortiVoice: versiones 6.4.0 a 6.4.10, 7.0.0 a 7.0.6 y 7.2.0
• FortiMail: versiones hasta la 7.6.2
• FortiNDR: todas las versiones 1.x y versiones 7.x < 7.6.1
• FortiRecorder: versiones hasta la 7.2.3
• FortiCamera: versiones hasta la 2.1.3

Fortinet ya ha lanzado firmware parcheado para todos los productos anteriores. Se recomienda actualizar inmediatamente.

Explotación confirmada: vector de ataque y persistencia

Fortinet ha confirmado que actores maliciosos ya han utilizado esta vulnerabilidad en entornos reales. En un incidente documentado, los atacantes lograron obtener acceso no autorizado a un sistema FortiVoice. Posteriormente:

• Escanearon la red interna desde el dispositivo comprometido.
• Activaron la depuración FCGI para interceptar credenciales administrativas.
• Modificaron archivos del sistema para establecer persistencia y mantener el acceso.
• Borraron registros y fallos del sistema para dificultar la detección.

Indicadores técnicos de compromiso (IoC)

Archivos sospechosos creados o modificados:

• /bin/wpad_ac_helper
• /lib/libfmlogin.so
• /tmp/.sshdpm

Estos archivos se han usado para extraer credenciales, establecer backdoors y ejecutar comandos maliciosos.

Cron jobs maliciosos:

• Tareas programadas para leer registros de depuración y extraer contraseñas periódicamente.

Direcciones IP asociadas con actividad maliciosa:

• 198.105.127[.]124
• 43.228.217[.]173
• 156.236.76[.]90
• 218.187.69[.]244

Detección de abuso de FCGI

Uno de los indicadores clave de explotación es la habilitación maliciosa del modo de depuración de FCGI. Puede verificarse mediante:

diag debug application fcgi

Si la salida incluye la línea:

general to-file ENABLED

…es probable que el sistema haya sido comprometido para capturar credenciales mediante el proxy FCGI.

Recomendaciones de mitigación inmediata

Si no es posible aplicar los parches de forma inmediata, Fortinet recomienda las siguientes medidas de contención:

1. Desactivar las interfaces administrativas HTTP/HTTPS si no son estrictamente necesarias.
2. Restringir el acceso administrativo únicamente a redes internas de confianza (por ejemplo, usando reglas de firewall específicas).
3. Monitorizar de forma proactiva los dispositivos para detectar los archivos, procesos y conexiones descritos anteriormente.
4. Implementar reglas SIEM para alertar sobre:
   • Escrituras en /bin, /tmp y /lib desde procesos no esperados.
   • Conexiones salientes a las IPs maliciosas conocidas.
   • Cambios en crontab.