Sicherheitswarnung – Stack-Based Buffer Overflow in Fortinet-APIs (CVE-2025-32756)
Table of Contents
In mehreren Fortinet-Produkten wurde eine schwerwiegende Stack-Overflow-Schwachstelle (CWE-121, CVSS 9.6 kritisch) entdeckt. Ein entfernter, nicht authentifizierter Angreifer kann speziell gestaltete HTTP-Anfragen senden, die zu einem Überlauf im API-Stack führen und beliebigen Code oder Systemkommandos mit den Rechten des HTTP-Daemons ausführen. Fortinet beobachtet bereits aktive Ausnutzung auf FortiVoice-Systemen.
| Produkt | Betroffen | Lösung |
|---|---|---|
| FortiCamera 2.1 | 2.1.0 – 2.1.3 | Upgrade auf 2.1.4 oder höher |
| FortiCamera 2.0 | alle Versionen | Migration auf gepatchte Version |
| FortiCamera 1.1 | alle Versionen | Migration auf gepatchte Version |
| FortiMail 7.6 | 7.6.0 – 7.6.2 | Upgrade auf 7.6.3 oder höher |
| FortiMail 7.4 | 7.4.0 – 7.4.4 | Upgrade auf 7.4.5 oder höher |
| FortiMail 7.2 | 7.2.0 – 7.2.7 | Upgrade auf 7.2.8 oder höher |
| FortiMail 7.0 | 7.0.0 – 7.0.8 | Upgrade auf 7.0.9 oder höher |
| FortiNDR 7.6 | 7.6.0 | Upgrade auf 7.6.1 oder höher |
| FortiNDR 7.4 | 7.4.0 – 7.4.7 | Upgrade auf 7.4.8 oder höher |
| FortiNDR 7.2 | 7.2.0 – 7.2.4 | Upgrade auf 7.2.5 oder höher |
| FortiNDR 7.1 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 7.0 | 7.0.0 – 7.0.6 | Upgrade auf 7.0.7 oder höher |
| FortiNDR 1.5 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.4 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.3 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.2 | alle Versionen | Migration auf gepatchte Version |
| FortiNDR 1.1 | alle Versionen | Migration auf gepatchte Version |
| FortiRecorder 7.2 | 7.2.0 – 7.2.3 | Upgrade auf 7.2.4 oder höher |
| FortiRecorder 7.0 | 7.0.0 – 7.0.5 | Upgrade auf 7.0.6 oder höher |
| FortiRecorder 6.4 | 6.4.0 – 6.4.5 | Upgrade auf 6.4.6 oder höher |
| FortiVoice 7.2 | 7.2.0 | Upgrade auf 7.2.1 oder höher |
| FortiVoice 7.0 | 7.0.0 – 7.0.6 | Upgrade auf 7.0.7 oder höher |
| FortiVoice 6.4 | 6.4.0 – 6.4.10 | Upgrade auf 6.4.11 oder höher |
Bekannte Indikatoren für Kompromittierung (IoCs)
- HTTPD-Logs mit FastCGI-Fehlern und Signal 11
- Unbekannte Dateien:
/bin/wpad_ac_helper(MD5 4410…d21)/lib/libfmlogin.so(MD5 3649…bcd)/bin/busybox(MD5 ebce…7315, 4898…0e590)/bin/fmtest(MD5 2c88…b946)/var/spool/.sync,/tmp/.sshdpm
- Cron-Jobs in
/data/etc/crontabund/var/spool/cron/crontabs/rootzum Auslesen vonfcgi.debug - Änderungen in
/etc/pam.d/sshdund/etc/httpd.conf(mod_socks5) - Verdächtige IP-Adressen: 198.105.127.124, 43.228.217.{173,82}, 156.236.76.90, 218.187.69.{244,59}
Empfehlungen
- Sofortiges Upgrade aller betroffenen Systeme auf die gepatchten Versionen.
- Deaktivieren des HTTP/HTTPS-Administrationsinterfaces, wenn nicht zwingend benötigt.
- Überprüfung auf oben genannte IoCs und Dateien.
- Monitoring Ihrer Netzwerk-Logs auf unerwartete FCGI-Debug-Einträge und ungewöhnlichen Traffic.
- Netzwerksegmentierung: Administrative Interfaces nur aus vertrauenswürdigen Netzen erreichbar machen.
Fortinet-Kunden sollten diese Warnung umgehend beachten und alle Schritte zur Schadensbegrenzung zeitnah umsetzen.