Η Fortinet κυκλοφόρησε ενημερώσεις ασφαλείας για να επιδιορθώσει μια κρίσιμη απομακρυσμένη ευπάθεια εκτέλεσης κώδικα που εκμεταλλεύεται ως μηδενική ημέρα σε επιθέσεις που στοχεύουν στο Fortivoice Enterprise Phone Systems.
Το ελάττωμα ασφαλείας είναι μια ευπάθεια υπερχείλισης που βασίζεται σε στοίβες CVE-2025-32756 Αυτό επηρεάζει επίσης το Fortimail, το Fortindr, το Fortirecorder και το Fortticamera.
Όπως εξηγεί η εταιρεία σε μια συμβουλευτική ασφάλεια που εκδόθηκε την Τρίτη, η επιτυχής εκμετάλλευση μπορεί να επιτρέψει στους απομακρυσμένους μη αυθεντικούς επιτιθέμενους να εκτελούν αυθαίρετο κώδικα ή εντολές μέσω αθέμιτων αιτήσεων HTTP.
Η ομάδα ασφάλειας προϊόντων της Fortinet ανακάλυψε το CVE-2025-32756 με βάση τη δραστηριότητα των επιτιθέμενων, συμπεριλαμβανομένων των σαρώσεων δικτύου, της διαγραφής του συστήματος CrashLogs για την κάλυψη των διαδρομών τους και της «FCGI Debugging» που θα μεταβληθεί για να καταγράψουν τα διαπιστευτήρια από το σύστημα ή τις προσπάθειες σύνδεσης SSH.
Όπως περιγράφεται λεπτομερώς στη σημερινή συμβουλευτική ασφάλεια, οι ηθοποιοί απειλών έχουν ξεκινήσει επιθέσεις από μισές διευθύνσεις IP, συμπεριλαμβανομένου του 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 και 218.187.69[.]59.
Οι δείκτες συμβιβασμού που εντοπίστηκαν από την Fortinet κατά τη διάρκεια της ανάλυσης των επιθέσεων περιλαμβάνουν τη ρύθμιση «FCGI Debugging» (η οποία δεν είναι ενεργοποιημένη από προεπιλογή), ενεργοποιημένη σε συμβιβασμένα συστήματα.
Για να ελέγξετε εάν αυτή η ρύθμιση είναι ενεργοποιημένη στο σύστημά σας, θα πρέπει να δείτε “γενικά ενεργοποιημένα” μετά από την εκτέλεση της ακόλουθης εντολής: diag debug application fcgi.
Κατά τη διερεύνηση αυτών των επιθέσεων, η Fortinet έχει παρατηρήσει ότι οι ηθοποιοί απειλών που αναπτύσσουν κακόβουλο λογισμικό σε hacked συσκευές, προσθέτοντας θέσεις εργασίας cron που έχουν σχεδιαστεί για τη συγκομιδή διαπιστευτήρια και την απόρριψη σεναρίων για τη σάρωση των δικτύων των θυμάτων.
Η εταιρεία μοιράστηκε επίσης συμβουλές μετριασμού για τους πελάτες που δεν μπορούν να εγκαταστήσουν αμέσως τις σημερινές ενημερώσεις ασφαλείας, οι οποίες απαιτούν να απενεργοποιήσουν τη διοικητική διεπαφή HTTP/HTTPS σε ευάλωτες συσκευές.
Τον περασμένο μήνα, το Ίδρυμα Shadowserver ανακάλυψε πάνω από 16.000 συσκευές Fortinet που εκτέθηκαν στο Διαδίκτυο που διακυβεύονταν χρησιμοποιώντας ένα νέο backdoor Symlink που παρέχει στους ηθοποιούς απειλές με πρόσβαση μόνο για ανάγνωση σε ευαίσθητα αρχεία σε συσκευές που έχουν τοποθετηθεί τώρα σε προηγούμενες επιθέσεις.
Στις αρχές Απριλίου, η Fortinet προειδοποίησε επίσης για μια κρίσιμη ευπάθεια Fortiswitch που μπορεί να εκμεταλλευτεί για να αλλάξει τους κωδικούς πρόσβασης διαχειριστή εξ αποστάσεως.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
