Pinewood Security Bulletin – Critical Buffer Overflow in Multiple Fortinet Products Exploited in the Wild

Beschrijving

Er bevindt zich een stack-based buffer overflow in de webinterface van meerdere Fortinet-producten (CVE-2025-32756). De kwetsbaarheid is aanwezig in de HTTP-component van deze producten. Een niet-geauthenticeerde, externe aanvaller kan via speciaal geprepareerde HTTP-verzoeken willekeurige code uitvoeren op het systeem. Dit kan leiden tot volledige systeemcompromittering. De kwetsbaarheid is aanwezig in de volgende producten:

• FortiVoice Enterprise
• FortiMail
• FortiNDR
• FortiRecorder
• FortiCamera

De kwetsbaarheid wordt actief uitgebuit in het wild, met name in FortiVoice-installaties. De aanval vereist geen authenticatie, wat de uitbuiting relatief eenvoudig maakt. De aanvallen omvatten onder andere het inschakelen van debugging, het verzamelen van inloggegevens en het wijzigen van systeeminstellingen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in onderstaande versies van Fortinet-producten:

• FortiVoice: 6.4.0 t/m 6.4.10, 7.0.0 t/m 7.0.6, 7.2.0
• FortiMail: 7.0.0 t/m 7.0.8, 7.2.0 t/m 7.2.7, 7.4.0 t/m 7.4.4, 7.6.0 t/m 7.6.2
• FortiNDR: 1.1 t/m 1.5 (alle versies), 7.0.0 t/m 7.0.6, 7.1 (alle versies), 7.2.0 t/m 7.2.4, 7.4.0 t/m 7.4.7, 7.6.0
• FortiRecorder: 6.4.0 t/m 6.4.5, 7.0.0 t/m 7.0.5, 7.2.0 t/m 7.2.3
• FortiCamera: 1.1, 2.0 (alle versies), 2.1.0 t/m 2.1.3

Oplossingen en tijdelijke mitigaties

Fortinet heeft de kwetsbaarheden verholpen via onderstaande patches:

• FortiVoice: 6.4.11, 7.0.7, 7.2.1
• FortiMail: 7.0.9, 7.2.8, 7.4.5, 7.6.3
• FortiNDR: 7.0.7, 7.2.5, 7.4.8, 7.6.1
• FortiRecorder: 6.4.6, 7.0.6, 7.2.4
• FortiCamera: 2.1.4

Fortinet adviseert organisaties die de patch nog niet kunnen installeren om de toegang tot de beheer webinterface van de getroffen tijdelijk uit te schakelen.

Detectie van mogelijk misbruik

Via een aantal controles is het mogelijk te achterhalen of misbruik van deze kwetsbaarheid heeft plaatsgevonden.

Verkeer vanaf verdachte IP-adressen

Aanvallen zijn gezien vanaf onderstaande IP-adressen. Succesvolle verbindingen vanaf deze IP-adressen richting Fortinet-webinterfaces zijn dan ook verdacht.

• 198.105.127[.]124 (AS149440 Evoxt Enterprise, GB)
• 43.228.217[.]173 (AS133905 Layerstack Limited, TW)
• 43.228.217[.]82 (AS133905 Layerstack Limited, TW)
• 156.236.76[.]90 (AS149440 Evoxt Enterprise, US)
• 218.187.69[.]244 (AS7482 Asia Pacific On-Line Service Inc., TW)
• 218.187.69[.]59 (AS7482 Asia Pacific On-Line Service Inc., TW)

Configuratiewijziging

De debuggingoptie is standaard uitgeschakeld op systemen, maar in de bekende aanvallen schakelen de aanvallers deze optie juist in. Als in de output van het commando ‘diag debug application fcgi’ de regel ‘general to-file ENABLED‘ voorkomt, betekent dit dat debugging is ingeschakeld. Indien de organisatie dit in het verleden niet zelf heeft ingeschakeld, duidt dit op mogelijk misbruik van het systeem.

Nieuwe en gewijzigde bestanden

Bij de bekende aanvallen plaatsen de aanvallers nieuwe bestanden op het systeem en voeren ze wijzigingen door in bestaande bestanden. Het gaat specifiek om onderstaande bestanden:

• /bin/wpad_ac_helper: malware met MD5-hash 4410352e110f82eabc0bf160bec41d21
• /bin/busybox: malafide indien de MD5-hash van het bestand gelijk is aan ebce43017d2cb316ea45e08374de7315 of 489821c38f429a21e1ea821f8460e590
• /data/etc/crontab: nieuwe regel toegevoegd om gevoelige informatie te verkrijgen vanuit fcgi.debug
• /var/spool/cron/crontabs/root: nieuwe regel toegevoegd om een backup te maken van fcgi.debug
• /var/spool/.sync: nieuw bestand waarin credentials worden verzameld
• /etc/pam.d/sshd: nieuwe regel(s) toegevoegd om gebruik te maken van het malafide bestand libfmlogin.so
• /lib/libfmlogin.so: nieuw bestand (met MD5-hash 364929c45703a84347064e2d5de45bcd), betreft een malafide bibliotheek waarmee gebruikersnamen en wachtwoorden vanuit SSH-logins worden vastgelegd
• /tmp/.sshdpm: nieuw bestand met daarin de verzamelde SSH-credentials
• /bin/fmtest: nieuw bestand (met MD5-hash 2c8834a52faee8d87cff7cd09c4fb946) waarmee het netwerk kan worden gescand
• /etc/httpd.conf: nieuwe regel toegevoegd om de socks5 module te activeren

Meer informatie

• https://fortiguard.fortinet.com/psirt/FG-IR-25-254

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

A stack-based buffer overflow exists in the web interface of multiple Fortinet products (CVE-2025-32756). The vulnerability is present in the HTTP component of these products. An unauthenticated, remote attacker can execute arbitrary code on the system via specially crafted HTTP requests. This can lead to full system compromise. The vulnerability affects the following products:

• FortiVoice Enterprise
• FortiMail
• FortiNDR
• FortiRecorder
• FortiCamera

The vulnerability is actively being exploited in the wild, particularly in FortiVoice installations. The attack does not require authentication, making exploitation relatively easy. The attacks include enabling debugging, collecting login credentials, and modifying system settings.

Vulnerable versions

The vulnerabilities are present in the following versions of Fortinet products:

• FortiVoice: 6.4.0 through 6.4.10, 7.0.0 through 7.0.6, 7.2.0
• FortiMail: 7.0.0 through 7.0.8, 7.2.0 through 7.2.7, 7.4.0 through 7.4.4, 7.6.0 through 7.6.2
• FortiNDR: 1.1 through 1.5 (all versions), 7.0.0 through 7.0.6, 7.1 (all versions), 7.2.0 through 7.2.4, 7.4.0 through 7.4.7, 7.6.0
• FortiRecorder: 6.4.0 through 6.4.5, 7.0.0 through 7.0.5, 7.2.0 through 7.2.3
• FortiCamera: 1.1, 2.0 (all versions), 2.1.0 through 2.1.3

Solutions and workarounds

Fortinet has addressed the vulnerabilities through the following patches:

• FortiVoice: 6.4.11, 7.0.7, 7.2.1
• FortiMail: 7.0.9, 7.2.8, 7.4.5, 7.6.3
• FortiNDR: 7.0.7, 7.2.5, 7.4.8, 7.6.1
• FortiRecorder: 6.4.6, 7.0.6, 7.2.4
• FortiCamera: 2.1.4

Fortinet advises organizations that cannot yet install the patch to temporarily disable the HTTP/HTTPS administrative interface.

Detection of possible misuse

Several checks can help determine whether this vulnerability has been exploited.

Traffic from Suspicious IP Addresses

Attacks have been observed from the following IP addresses. Successful connections from these IPs to Fortinet web interfaces are considered suspicious:

• 198.105.127[.]124 (AS149440 Evoxt Enterprise, GB)
• 43.228.217[.]173 (AS133905 Layerstack Limited, TW)
• 43.228.217[.]82 (AS133905 Layerstack Limited, TW)
• 156.236.76[.]90 (AS149440 Evoxt Enterprise, US)
• 218.187.69[.]244 (AS7482 Asia Pacific On-Line Service Inc., TW)
• 218.187.69[.]59 (AS7482 Asia Pacific On-Line Service Inc., TW)

Configuration Changes

The debugging option is disabled by default, but in known attacks, attackers enable this option. If the output of the command ‘diag debug application fcgi’ contains the line ‘general to-file ENABLED’, it indicates that debugging is enabled. If the organization did not enable this in the past, it may indicate system compromise.

New and Modified Files

In known attacks, attackers place new files on the system and modify existing ones. Specifically:

• /bin/wpad_ac_helper: malware with MD5 hash 4410352e110f82eabc0bf160bec41d21
• /bin/busybox: malicious if MD5 hash is ebce43017d2cb316ea45e08374de7315 or 489821c38f429a21e1ea821f8460e590
• /data/etc/crontab: new line added to extract sensitive info from fcgi.debug
• /var/spool/cron/crontabs/root: new line added to back up fcgi.debug
• /var/spool/.sync: new file collecting credentials
• /etc/pam.d/sshd: new line(s) added to use malicious file libfmlogin.so
• /lib/libfmlogin.so: new file (MD5 hash 364929c45703a84347064e2d5de45bcd), a malicious library capturing SSH login credentials
• /tmp/.sshdpm: new file containing collected SSH credentials
• /bin/fmtest: new file (MD5 hash 2c8834a52faee8d87cff7cd09c4fb946) used for network scanning
• /etc/httpd.conf: new line added to activate the socks5 module

More information

• https://fortiguard.fortinet.com/psirt/FG-IR-25-254

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.