CVE-2025-32756: Vulnerabilidad crítica en productos Fortinet bajo explotación activa
Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer basada en pila que afecta a múltiples productos, incluyendo FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Esta falla permite la ejecución remota de código sin autenticación y ya está siendo explotada activamente en entornos reales.
Descripción de la Vulnerabilidad
La vulnerabilidad, identificada como CVE-2025-32756, es un desbordamiento de búfer basado en pila (CWE-121) que permite a atacantes remotos no autenticados ejecutar código arbitrario mediante solicitudes HTTP especialmente diseñadas.
Productos y versiones afectadas
- FortiVoice: 6.4.0 a 6.4.10, 7.0.0 a 7.0.6, 7.2.0
- FortiMail: 7.0.0 a 7.0.8, 7.2.0 a 7.2.7, 7.4.0 a 7.4.4, 7.6.0 a 7.6.2
- FortiNDR: 7.0.0 a 7.0.6, 7.2.0 a 7.2.4, 7.4.0 a 7.4.7, 7.6.0
- FortiRecorder: 6.4.0 a 6.4.5, 7.0.0 a 7.0.5, 7.2.0 a 7.2.3
- FortiCamera: 1.1 (todas las versiones), 2.0 (todas las versiones), 2.1.0 a 2.1.3
Explotación activa y cronología
- 13 de mayo de 2025: Fortinet publica un aviso de seguridad sobre CVE-2025-32756.
- 14 de mayo de 2025: La CISA incluye la vulnerabilidad en su catálogo de vulnerabilidades explotadas conocidas (KEV).
- Investigadores observan explotación activa en sistemas FortiVoice, con actividades como escaneo de red, borrado de registros de fallos y habilitación de funciones de depuración para capturar credenciales.
Recomendaciones
- Restringir el acceso a las interfaces HTTP/HTTPS administrativas desde redes no confiables.
- Implementar reglas de detección de intrusiones para identificar patrones de explotación conocidos.
- Monitorear los sistemas en busca de indicadores de compromiso (IoCs) proporcionados por Fortinet.
Detección y Monitoreo
Indicadores de Compromiso (IoCs):
- Presencia de archivos o procesos inusuales relacionados con la explotación.
- Registros de acceso anómalos en las interfaces administrativas.
- Activación no autorizada de funciones de depuración.
Herramientas de detección:
- Utilizar soluciones de gestión de vulnerabilidades como InsightVM o Nexpose para identificar sistemas afectados.
- Implementar sistemas de detección y respuesta ante amenazas (EDR) para monitorear actividades sospechosas.
Motivaciones y Capacidades de los Atacantes
Dado que la vulnerabilidad permite la ejecución remota de código sin necesidad de autenticación, es atractiva para diversos actores maliciosos, incluyendo grupos de ransomware y actores patrocinados por estados. La explotación puede conducir al acceso no autorizado, exfiltración de datos, instalación de malware y movimientos laterales dentro de la red.
Cronología de Eventos
- 13 de mayo de 2025: Fortinet publica el aviso de seguridad FG-IR-25-254.
- 14 de mayo de 2025: La CISA agrega CVE-2025-32756 a su catálogo KEV.
- 15 de mayo de 2025: Rapid7 y otros investigadores confirman la explotación activa de la vulnerabilidad.
- 22 de mayo de 2025: Horizon3.ai publica un análisis técnico detallado sobre la vulnerabilidad.
- 26 de mayo de 2025: Se divulga un exploit de prueba de concepto (PoC) para CVE-2025-32756.
Conclusión
CVE-2025-32756 representa una amenaza crítica para las organizaciones que utilizan productos Fortinet afectados. La explotación activa y la disponibilidad de un PoC público subrayan la urgencia de aplicar las actualizaciones de seguridad y reforzar las medidas de detección y monitoreo para prevenir compromisos adicionales.
Recomendaciones de Mitigación
Actualizaciones de seguridad:
- FortiVoice: Actualizar a 6.4.11, 7.0.7 o 7.2.1 o versiones superiores.
- FortiMail: Actualizar a 7.0.9, 7.2.8, 7.4.5 o 7.6.3 o versiones superiores.
- FortiNDR: Actualizar a 7.0.7, 7.2.5, 7.4.8 o 7.6.1 o versiones superiores.
- FortiRecorder: Actualizar a 6.4.6, 7.0.6 o 7.2.4 o versiones superiores.
- FortiCamera: Actualizar a 2.1.4 o versiones superiores.
Etiquetas Relacionadas
Fuentes
https://es-la.tenable.com/blog/how-to-perform-efficient-vulnerability-assessments-with-tenable