Fortinet紧急修复零日漏洞CVE-2025-32756：远程代码执行风险威胁FortiVoice系统

一.漏洞概述

    近日，Fortinet披露了一个被野外利用的关键零日漏洞CVE-2025-32756，该漏洞影响其多款安全产品，包括企业语音系统FortiVoice、邮件安全设备FortiMail、网络威胁检测工具FortiNDR等。漏洞被归类为基于栈的缓冲区溢出，CVSS评分为9.6分（满分10.0），攻击者可通过特制的HTTP请求远程执行任意代码或命令，无需身份验证即可完全控制设备。

二.受影响产品及版本

    以下产品及其版本均存在风险，需立即升级至修复版本：

1. FortiVoice：6.4.0-6.4.10、7.0.0-7.0.6、7.2.0 → 升级至6.4.11/7.0.7/7.2.1或更高

2. FortiMail：7.0.x、7.2.x、7.4.x、7.6.x → 升级至7.0.9/7.2.8/7.4.5/7.6.3或更高

3. FortiNDR：1.x、7.0.x、7.2.x、7.4.x → 升级至7.0.7/7.2.5/7.4.8或更高

4. FortiRecorder：6.4.x、7.0.x、7.2.x → 升级至6.4.6/7.0.6/7.2.4或更高

5. FortiCamera：2.1.x → 升级至2.1.4或更高。

注意：部分旧版本（如FortiCamera 1.1、2.0等）需直接迁移至受支持的新版本。

三.攻击模式与入侵指标（IoCs）

    Fortinet发现攻击者已利用该漏洞实施以下恶意行为：

1. 网络侦察：扫描内网资产以寻找横向移动机会。

2. 痕迹掩盖：删除系统崩溃日志以隐藏攻击活动。

3. 凭证窃取：启用非默认的fcgi调试功能，记录系统或SSH登录凭证。

4. 后门植入：部署恶意文件（如/bin/wpad_ac_helper、/lib/libfmlogin.so）及恶意Cron任务，定期外泄敏感数据。

关键入侵指标（IoCs）：

• 日志异常：HTTP日志中出现FastCGI server closed connection或signal 11（段错误）。

• 恶意文件：检测MD5为4410352e110f82eabc0bf160bec41d21的文件/bin/wpad_ac_helper。

• 可疑IP地址：攻击流量源自198.105.127.124、43.228.217.173等6个IP。

四.缓解措施

1. 立即升级补丁Fortinet已为所有受影响产品发布安全更新，建议用户优先通过官方渠道升级至修复版本。

2. 临时解决方案若无法立即更新，可采取以下措施：

• 禁用HTTP/HTTPS管理接口：限制远程攻击面。

• 限制管理访问：仅允许可信内网IP访问设备管理界面。

• 检测调试设置：运行命令diag debug application fcgi，若返回general to-file ENABLED，则可能已遭入侵。

3. 监控与响应

• 检查系统文件（如/etc/pam.d/sshd、/etc/httpd.conf）是否被篡改。

• 监控Cron任务中是否存在异常脚本（如每12小时提取密码的恶意任务）。

五.安全建议与总结

    Fortinet设备因在企业网络中的核心地位，长期成为攻击者的高价值目标。此次漏洞的野外利用再次提醒企业：

• 定期更新：及时应用厂商安全补丁，避免滞后。

• 最小化暴露：关闭不必要的远程管理端口，采用VPN等安全通道。

• 纵深防御：结合日志审计、入侵检测系统（IDS）和终端防护，构建多层防御体系。

    此次漏洞的修复是Fortinet近年来多次安全事件中的一环。2025年初，其产品曾曝出另一个野外利用漏洞（CVE-2024-55591），而2022年的CVE-2022-40684更是被中俄黑客组织广泛利用。企业需持续关注厂商公告，强化安全运维流程