Los investigadores de seguridad han publicado un análisis detallado de prueba de concepto (POC) de vulnerabilidades críticas de día cero que afectan múltiples productos de Fortinet a medida que los actores de amenaza continúan aprovechando activamente los defectos de los ataques reales.
La vulnerabilidad rastreada como CVE-2025-32756 representa un riesgo de seguridad significativo con una puntuación CVSS de 9.6 de 10.
La vulnerabilidad es un desbordamiento de búfer basado en pila en la API de administración, lo que permite a un atacante sin un control remoto ejecutar un código arbitrario a través de solicitudes HTTP especialmente escritas.
El defecto afecta a cinco líneas principales de productos de Fortinet: Fortivoice, FortiMail, FortiMail, Fortindr, Fortirecorder y Forticamera en múltiples versiones.
Vulnerabilidad en la explotación agresiva
Un análisis técnico detallado emitido por los investigadores de seguridad de Horizon3 reveló que la vulnerabilidad se debió a la verificación de límites inapropiados mientras procesaba el valor APScookie de la función Cookieval_unwrap () en la biblioteca libhttputil.so.
Los investigadores encontraron que la versión parchada incluye una verificación de tamaño para los límites de los valores de authhash, pero la versión vulnerable permite que un atacante se desborde en un búfer de salida de 16 bytes, lo que permite valores de pila clave, incluidas las direcciones de retorno.
Fortinet ha confirmado que los actores de amenaza están explotando activamente esta vulnerabilidad en la naturaleza, específicamente dirigida al sistema de comunicaciones unificadas de Fortivoice.
El equipo de seguridad de productos de la compañía descubrió la explotación a través de la actividad de amenaza observada, incluidas las exploraciones de red, la recolección de calificación y la manipulación de archivos de registro.
Según las métricas de punto de compromiso de Fortinet (COI), se ha observado que los atacantes están permitiendo escaneos de redes de dispositivos, borrando los registros de bloqueos del sistema y la “depuración de FCGI” para capturar los intentos de autenticación, incluidos los inicios de sesión SSH. Los actores de amenaza desplegaron malware y establecieron trabajos de Cron para el robo de calificación continua.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó CVE-2025-32756 a su catálogo de vulnerabilidades explotadas (KEV) conocidas el 14 de mayo de 2025, un día después del consejo inicial de Fortinet. La designación destaca la urgencia de la amenaza, lo que requiere que las agencias federales fijen la vulnerabilidad antes del 4 de junio de 2025.
La rápida adición al catálogo de KEV refleja la gravedad de la explotación agresiva y el potencial de un impacto generalizado en el entorno empresarial que depende de la infraestructura de seguridad y comunicaciones de Fortinet.
Los expertos en seguridad recomiendan actualizaciones inmediatas a versiones fijas en todos los productos afectados. Para las organizaciones que no pueden parchear de inmediato, Fortinet ofrece una solución para deshabilitar la interfaz HTTP/HTTPS de gestión.
Las versiones del producto afectadas requieren actualizaciones de versiones fijas específicas. El sistema Fortivoice debe actualizarse a 7.2.1, 7.0.7 o 6.4.11 dependiendo de su rama actual, pero FortiMail requiere una actualización de 7.6.3, 7.4.5, 7.2.8 o 7.0.9.
Esto ilustra la 18a vulnerabilidad de Fortinet agregada a la lista KEV de CISA, demostrando la directora continua de los productos Fortinet por los actores de amenazas.
La combinación de explotación agresiva, disponibilidad técnica de POC y la naturaleza crítica de la infraestructura empresarial afectada crea una situación de seguridad urgente en la que las organizaciones necesitan atención inmediata utilizando estos productos.
Dada la facilidad de explotación y disponibilidad de detalles técnicos, los expertos en seguridad esperan que los actores de amenaza adicionales comiencen a dirigirse a sistemas vulnerables en los próximos días.
Equipar equipos de SOC con un análisis de amenazas profundas para respuestas más rápidas -> Obtenga una licencia de sandbox adicional de forma gratuita
