CVE-2025-32756: новая угроза для пользователей Fortinet

CVE-2025-32756: новая угроза для пользователей Fortinet

Эксплуатация обнаруженной уязвимости подтверждена в реальных атаках. Рассказываем, кому угрожает новая CVE и как защитить компанию
19 июня 2025 г.

Команда BI.ZONE CPT сообщает о новом PoC для критической уязвимости выполнения удаленного кода (RCE) CVE‑2025‑32756 в ряде продуктов Fortinet, которую компания раскрыла в мае 2025 года. Уязвимость получила оценку 9,6 по шкале CVSS и позволяет выполнить произвольный код за счет переполнения буфера приложения через отправку вредоносных HTTP‑запросов.

Несмотря на уход многих западных вендоров из России, часть компаний продолжает пользоваться продуктами Fortinet: в основном Fortigate и Fortimail. Специалисты BI.ZONE Threat Intelligence зафиксировали эксплуатацию уязвимости в реальных атаках.

После первоначальной компрометации злоумышленники:

  • сканируют внутреннюю сеть на предмет дальнейшего развития атаки;
  • активируют FCGI‑дебаггинг для перехвата попыток логина через SSH и веб‑интерфейс;
  • удаляют логи ошибок, чтобы скрыть следы.
Включенный FCGI-дебаггинг не стандартная настройка. Его наличие может служить индикатором компрометации.

Кто подвержен уязвимости

Компании, использующие:

  • FortiMail, версии 7.6.0–7.6.2, 7.4.0–7.4.4, 7.2.0–7.2.7, 7.0.0–7.0.8;
  • FortiCamera;
  • FortiNDR;
  • FortiRecorder;
  • FortiVoice.

Публичный эксплоит

Первый PoC появился практически сразу, вместе с публикацией уязвимости в мае. Улучшенный и более надежный PoC опубликовали перед июньскими праздниками.

Меры защиты

  1. Установите официальные патчи. Уязвимость устранена в новых версиях продуктов Fortinet.
  2. Проверьте наличие индикаторов компрометации:
    • Следующие строки в логах приложений:
      [x x x x:x:x.x 2025] [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection
      [x x x x:x:x.x 2025] [fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11.
    • Включенный FCGI‑дебаггинг и дополнительные IoC, доступные на странице вендора.
  3. Или используйте альтернативный вариант: отключите веб‑интерфейс продукта.

Как BI.ZONE CPT помогает в таких случаях

BI.ZONE CPT автоматически выявляет уязвимости на внешнем периметре, включая CVE‑2025‑32756. Решение также показывает, какие именно активы подвержены риску, насколько он критичен, и предоставляет пошаговые рекомендации по устранению.

Интеграция с BI.ZONE Threat Intelligence позволяет:

  • приоритизировать уязвимости, которые эксплуатируются в реальных атаках;
  • понять, какие кластеры активности используют конкретную уязвимость;
  • узнать, какие тактики, техники и процедуры злоумышленники применяют после успешной компрометации.

Полезные ссылки

Stack-based buffer overflow vulnerability in API // FortiGuard Labs

#атаки
#уязвимости
#рекомендации
#продукты