For English, see below.
BeschrijvingEr bevindt zich een stack-based buffer overflow in de webinterface van meerdere Fortinet-producten (CVE-2025-32756). De kwetsbaarheid is aanwezig in de HTTP-component van deze producten. Een niet-geauthenticeerde, externe aanvaller kan via speciaal geprepareerde HTTP-verzoeken willekeurige code uitvoeren op het systeem. Dit kan leiden tot volledige systeemcompromittering. De kwetsbaarheid is aanwezig in de volgende producten:
De kwetsbaarheid wordt actief uitgebuit in het wild, met name in FortiVoice-installaties. De aanval vereist geen authenticatie, wat de uitbuiting relatief eenvoudig maakt. De aanvallen omvatten onder andere het inschakelen van debugging, het verzamelen van inloggegevens en het wijzigen van systeeminstellingen. Kwetsbare versiesDe kwetsbaarheden bevinden zich in onderstaande versies van Fortinet-producten:
Oplossingen en tijdelijke mitigatiesFortinet heeft de kwetsbaarheden verholpen via onderstaande patches:
Fortinet adviseert organisaties die de patch nog niet kunnen installeren om de toegang tot de beheer webinterface van de getroffen tijdelijk uit te schakelen. Detectie van mogelijk misbruikVia een aantal controles is het mogelijk te achterhalen of misbruik van deze kwetsbaarheid heeft plaatsgevonden. Verkeer vanaf verdachte IP-adressen Aanvallen zijn gezien vanaf onderstaande IP-adressen. Succesvolle verbindingen vanaf deze IP-adressen richting Fortinet-webinterfaces zijn dan ook verdacht.
Configuratiewijziging De debuggingoptie is standaard uitgeschakeld op systemen, maar in de bekende aanvallen schakelen de aanvallers deze optie juist in. Als in de output van het commando ‘diag debug application fcgi’ de regel ‘general to-file ENABLED‘ voorkomt, betekent dit dat debugging is ingeschakeld. Indien de organisatie dit in het verleden niet zelf heeft ingeschakeld, duidt dit op mogelijk misbruik van het systeem. Nieuwe en gewijzigde bestanden Bij de bekende aanvallen plaatsen de aanvallers nieuwe bestanden op het systeem en voeren ze wijzigingen door in bestaande bestanden. Het gaat specifiek om onderstaande bestanden:
Meer informatieManaged Security Services (MSS) klantenAls u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden. VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.
===== ENGLISH ===== DescriptionA stack-based buffer overflow exists in the web interface of multiple Fortinet products (CVE-2025-32756). The vulnerability is present in the HTTP component of these products. An unauthenticated, remote attacker can execute arbitrary code on the system via specially crafted HTTP requests. This can lead to full system compromise. The vulnerability affects the following products:
The vulnerability is actively being exploited in the wild, particularly in FortiVoice installations. The attack does not require authentication, making exploitation relatively easy. The attacks include enabling debugging, collecting login credentials, and modifying system settings. Vulnerable versionsThe vulnerabilities are present in the following versions of Fortinet products:
Solutions and workaroundsFortinet has addressed the vulnerabilities through the following patches:
Fortinet advises organizations that cannot yet install the patch to temporarily disable the HTTP/HTTPS administrative interface. Detection of possible misuseSeveral checks can help determine whether this vulnerability has been exploited. Traffic from Suspicious IP Addresses Attacks have been observed from the following IP addresses. Successful connections from these IPs to Fortinet web interfaces are considered suspicious:
Configuration Changes The debugging option is disabled by default, but in known attacks, attackers enable this option. If the output of the command ‘diag debug application fcgi’ contains the line ‘general to-file ENABLED’, it indicates that debugging is enabled. If the organization did not enable this in the past, it may indicate system compromise. New and Modified Files In known attacks, attackers place new files on the system and modify existing ones. Specifically:
More informationManaged Security Services (MSS) customersIf you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities. QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |
