Een stack-based buffer overflow in meerdere Fortinet-oplossingen wordt actief misbruikt. De kwetsbaarheid laat onbevoegde aanvallers toe om eigen code uit te voeren via aangepaste HTTP-verzoeken.
Fortinet waarschuwt voor een kritiek lek dat verschillende oplossingen kan treffen. De kwetsbaarheid, aangeduid als CVE-2025-32756 of CWE-121 volgens Fortinets eigen nummering, werd in de praktijk al misbruikt op FortiVoice-communicatiesystemen. Ook FortiNDR, FortiRecorder en FortiCamera zouden vatbaar zijn. De kwetsbaarheid werd ontdekt door het eigen productbeveiligingsteam van Fortinet na analyse van verdachte activiteiten.
Via speciaal gevormde HTTP-verzoeken kan een aanvaller zonder authenticatie willekeurige opdrachten uitvoeren op het systeem. Bij een geregistreerde aanval voerde de aanvaller verschillende acties uit: het netwerk werd gescand, crashlogs werden verwijderd, en FCGI-debugging werd ingeschakeld. Die debugging laat toe om wachtwoorden uit het systeem of via SSH-inlogpogingen te onderscheppen.
lees ook
FortiSwitch-kwetsbaarheid maakt wachtwoorden veranderen kinderspel
Fortinet deelt een lijst met mogelijke acties die kunnen wijzen op een succesvolle aanval. Daaronder bevinden zich gewijzigde systeeminstellingen, logbestanden en toegevoegde bestanden, waaronder malware die SSH-wachtwoorden onderschept. Ook verdachte IP-adressen worden gedeeld.
Patch beschikbaar
De kwetsbaarheid treft verschillende softwareversies van de betrokken producten. Fortinet heeft updates uitgebracht of vraagt om te migreren naar een gepatchte versie. Voor FortiVoice moeten gebruikers upgraden naar versie 7.2.1 of hoger. Een volledige lijst van getroffen versies en de bijhorende oplossingen is beschikbaar.
Als tijdelijke maatregel adviseert Fortinet om de beheerinterface via HTTP/HTTPS uit te schakelen. Organisaties die een van de getroffen producten gebruiken, doen er goed aan hun systemen na te kijken op sporen van misbruik. Snel patchen is echter de beste remedie.
De voorbije maanden zijn vaker kritieke kwetsbaarheden voorgevallen in verschillende Fortinet-producten, zoals FortiGate en ForitSwitch. De meest recente achterdeur in FortiGate is een oude kwetsbaarheid uit 2022 die opnieuw aan de oppervlakte is gekomen. Ook bedrijven in de Benelux en Frankrijk lopen daarbij risico.