国产精品亚洲精品日韩已满/尤物av无码色av无码/精品无码午夜福利理论片/国产成人无码久久久精品一/痴汉电车

新(xin)聞中心

NEWS CENTER

2025-05-14

緊(jin)急(ji)!Fortinet修復FortiVoice高危零(ling)日漏洞,攻(gong)擊(ji)者已(yi)野(ye)外利(li)用!

緊急!Fortinet修復FortiVoice高危(wei)零日漏洞,攻擊者已野外利用!



1


漏洞詳情

Fortinet近日(ri)(ri)披露(lu)了一項關鍵級(ji)基于棧的緩沖區溢(yi)出漏洞(CVE-2025-32756),CVSS評分(fen)高達9.6,攻擊(ji)者可(ke)利(li)用(yong)(yong)該漏洞通(tong)過構造的HTTP請(qing)求遠程執行任意(yi)代碼(ma),完全控制受影響設(she)備。該漏洞已確認被野外(wai)利(li)用(yong)(yong),威脅行為者通(tong)過入侵FortiVoice系統實(shi)施惡意(yi)操作,包括掃(sao)描(miao)內(nei)網資產、竊取憑證、清除日(ri)(ri)志銷(xiao)毀證據等。

針對(dui) FortiVoice 0 天 (CVE-2025-32756)

類別指示符 / 詳細(xi)信息描述 / 目的
日志條(tiao)目[fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connectionhttpd 日志中指示異常 FastCGI 行為的錯誤

[fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11httpd 跟(gen)蹤日志中的(de)信號 11(分段錯誤(wu))
惡意(yi)文(wen)件/bin/wpad_ac_helper(MD5:4410352e110f82eabc0bf160bec41d21)攻擊(ji)者添加的主要(yao)惡意軟(ruan)件文(wen)件

/bin/busybox(MD5:ebce43017d2cb316ea45e08374de7315、489821c38f429a21e1ea821f8460e590)惡意或(huo)替換的實用程序(xu)

/lib/libfmlogin.so(MD5:364929c45703a84347064e2d5de45bcd)用于記錄 SSH 憑據的惡意庫

/tmp/.sshdpm包含惡意(yi)庫收集的憑據(ju)

/bin/fmtest(MD5:2c8834a52faee8d87cff7cd09c4fb946)用于(yu)掃(sao)描網(wang)絡的腳本(ben)

/var/spool/.synccron 作業在此處(chu)泄露的憑據(ju)
修改的文件/data/etc/crontab添加(jia)了 Cron 作業,用于從 fcgi.debug grep 敏感數據

/var/spool/cron/crontabs/rootCron 作業已添加(jia)到備份 fcgi.debug

/etc/pam.d/sshd添加(jia)(jia)了惡意(yi)行(xing)以(yi)加(jia)(jia)載 libfmlogin.so

/etc/httpd.conf添加(jia)了 load socks5 模塊的行
惡意設(she)置fcgi debug level is 0x80041

general to-file ENABLED
啟用(yong) FCGI 調試(非默認(ren));日(ri)志憑證
威脅(xie)行為者 IP198.105.127.124
43.228.217.173
43.228.217.82
156.236.76.90
218.187.69.244
218.187.69.59		在(zai)攻擊活動中觀察到的(de) IP 地址(zhi)
惡意 Cron 作業0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug每 12 小(xiao)時從日志中提取一次密(mi)碼

0 */12 * * * root cat /var/spool/crashlog/fcgi.debug> /var/spool/.sync; cat/dev/null >/var/spool/crashlog/fcgi.debug每 12 小時備份一(yi)次 FCGI 調試日志






2


受影響產品及版本

  • FortiVoice:6.4.0至6.4.10、7.0.0至7.0.6、7.2.0版本

  • 其(qi)他受影響(xiang)產品:FortiMail(最(zui)高(gao)7.6.2)、FortiNDR(所有1.x版本和7.6.1之(zhi)前的7.x版本)、FortiRecorder(最(zui)高(gao)7.2.3)、FortiCamera(最(zui)高(gao)2.1.3)

圖片

3


攻擊鏈分析

攻擊者通過以下步驟實施攻擊:

1.漏(lou)洞(dong)利用:構造惡意HTTP請求觸發緩(huan)沖(chong)區溢出(chu),繞過身份驗證。

2.內(nei)網滲透:掃描內(nei)網資產,識別高價值(zhi)目標。

3.憑(ping)證(zheng)竊取:啟(qi)用FCGI調試功能,捕獲系統憑(ping)證(zheng)或記錄SSH登錄嘗試。

4.日(ri)志清除(chu):刪除(chu)系統(tong)崩潰日(ri)志,隱藏攻擊痕跡。

圖片

4


修復方案

  • 立(li)即更新(xin):升級至最(zui)新(xin)修補版本:

    • FortiVoice:7.2.1及以(yi)上版本

    • FortiMail:7.6.3及以上版(ban)本

    • FortiNDR:7.6.1及以(yi)上版本

    • FortiRecorder:7.2.4及以(yi)上版本

    • FortiCamera:2.1.4及(ji)以(yi)上版本(ben)

  • 臨時措施(無法立即更新時):

    • 禁(jin)用HTTP/HTTPS管理接口,限制訪問至可信內網(wang)。

    • 監控系統日志,檢測FCGI調試是否(fou)被惡意(yi)啟(qi)用(命(ming)令:diag debug application fcgi,若返回general to-file ENABLED則(ze)可能已遭入侵)。

Fortinet :網絡安全技能差距導致亞洲72%漏洞事故 - 大灣區商業科技專刊

5


安全建議 

1.最(zui)小(xiao)權(quan)限(xian)原則:僅允許可信(xin)IP訪問管理接口(kou)。

2.多(duo)因素認證(MFA):啟(qi)用FortiOS本地(di)用戶(hu)賬戶(hu)的MFA功能。

3.日志(zhi)審計(ji):定期檢查(cha)系統日志(zhi),關注(zhu)異常IP或(huo)未(wei)授權操作。

4.網絡隔離:將(jiang)關鍵設備部署(shu)在(zai)隔離區(DMZ),減少暴露面。

圖片
END

返回列表