Sicherheitswarnung – Stack-Based Buffer Overflow in Fortinet-APIs (CVE-2025-32756)

Table of Contents

In mehreren Fortinet-Produkten wurde eine schwerwiegende Stack-Overflow-Schwachstelle (CWE-121, CVSS 9.6 kritisch) entdeckt. Ein entfernter, nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die zu einem Überlauf im API-Stack führen und beliebigen Code oder Systemkommandos mit den Rechten des HTTP-Daemons ausführen. Fortinet beobachtet bereits aktive Ausnutzung auf FortiVoice-Systemen.

ProduktBetroffenLösung
FortiCamera 2.12.1.0 – 2.1.3Upgrade auf 2.1.4 oder höher
FortiCamera 2.0alle VersionenMigration auf gepatchte Version
FortiCamera 1.1alle VersionenMigration auf gepatchte Version
FortiMail 7.67.6.0 – 7.6.2Upgrade auf 7.6.3 oder höher
FortiMail 7.47.4.0 – 7.4.4Upgrade auf 7.4.5 oder höher
FortiMail 7.27.2.0 – 7.2.7Upgrade auf 7.2.8 oder höher
FortiMail 7.07.0.0 – 7.0.8Upgrade auf 7.0.9 oder höher
FortiNDR 7.67.6.0Upgrade auf 7.6.1 oder höher
FortiNDR 7.47.4.0 – 7.4.7Upgrade auf 7.4.8 oder höher
FortiNDR 7.27.2.0 – 7.2.4Upgrade auf 7.2.5 oder höher
FortiNDR 7.1alle VersionenMigration auf gepatchte Version
FortiNDR 7.07.0.0 – 7.0.6Upgrade auf 7.0.7 oder höher
FortiNDR 1.5alle VersionenMigration auf gepatchte Version
FortiNDR 1.4alle VersionenMigration auf gepatchte Version
FortiNDR 1.3alle VersionenMigration auf gepatchte Version
FortiNDR 1.2alle VersionenMigration auf gepatchte Version
FortiNDR 1.1alle VersionenMigration auf gepatchte Version
FortiRecorder 7.27.2.0 – 7.2.3Upgrade auf 7.2.4 oder höher
FortiRecorder 7.07.0.0 – 7.0.5Upgrade auf 7.0.6 oder höher
FortiRecorder 6.46.4.0 – 6.4.5Upgrade auf 6.4.6 oder höher
FortiVoice 7.27.2.0Upgrade auf 7.2.1 oder höher
FortiVoice 7.07.0.0 – 7.0.6Upgrade auf 7.0.7 oder höher
FortiVoice 6.46.4.0 – 6.4.10Upgrade auf 6.4.11 oder höher

Bekannte Indikatoren für Kompromittierung (IoCs)

  • HTTPD-Logs mit FastCGI-Fehlern und Signal 11
  • Unbekannte Dateien:
    • /bin/wpad_ac_helper (MD5 4410…d21)
    • /lib/libfmlogin.so (MD5 3649…bcd)
    • /bin/busybox (MD5 ebce…7315, 4898…0e590)
    • /bin/fmtest (MD5 2c88…b946)
    • /var/spool/.sync, /tmp/.sshdpm
  • Cron-Jobs in /data/etc/crontab und /var/spool/cron/crontabs/root zum Auslesen von fcgi.debug
  • Änderungen in /etc/pam.d/sshd und /etc/httpd.conf (mod_socks5)
  • Verdächtige IP-Adressen: 198.105.127.124, 43.228.217.{173,82}, 156.236.76.90, 218.187.69.{244,59}

Empfehlungen

  1. Sofortiges Upgrade aller betroffenen Systeme auf die gepatchten Versionen.
  2. Deaktivieren des HTTP/HTTPS-Administrationsinterfaces, wenn nicht zwingend benötigt.
  3. Überprüfung auf oben genannte IoCs und Dateien.
  4. Monitoring Ihrer Netzwerk-Logs auf unerwartete FCGI-Debug-Einträge und ungewöhnlichen Traffic.
  5. Netzwerksegmentierung: Administrative Interfaces nur aus vertrauenswürdigen Netzen erreichbar machen.

Fortinet-Kunden sollten diese Warnung umgehend beachten und alle Schritte zur Schadensbegrenzung zeitnah umsetzen.

Related Posts

Ransomware-Angriff auf OeTTINGER Brauerei

Die OeTTINGER Brauerei GmbH, einer der größten deutschen Brauerei- und Getränkehersteller, wurde Opfer eines Ransomware-Angriffs durch die Hackergruppe RansomHouse. Dies berichtete der Cybersecurity-Dienst FalconFeeds.io am 5. Mai 2025.

Read More

Sicherheitslücke in GIMP (ZDI-CAN-26752)

Die Zero Day Initiative (ZDI) hat eine Sicherheitslücke in der Bildbearbeitungssoftware GIMP (Version 3.0.2) entdeckt, die bei der Verarbeitung von ICO-Dateien auftritt. Die Schwachstelle (Integer Overflow) ermöglicht eine entfernte Ausführung von Schadcode, da Angreifer durch manipulierte ICO-Dateien einen Heap-Buffer-Overflow auslösen können.

Read More

SAP Patchday im Mai 2025 schließt kritische Lücken

Am 13. Mai 2025 veröffentlichte SAP den monatlichen Security Patch Day mit insgesamt 16 neuen Security Notes und 2 Updates zu früheren Hinweisen. Kunden sollten die Patches umgehend über das SAP Support Portal einspielen, um ihre Landschaft vor möglichen Angriffen zu schützen.

Read More