09.06.2025
1 хв
581
Масова RCE-атака вже в дії Дослідники оприлюднили PoC-експлойт до критичної 0-day уразливості CVE-2025-32756 у продуктах Fortinet. Вразливість дає змогу віддаленого неавтентифікованого виконання коду (RCE) через помилку переповнення буфера у /remote/hostcheck_validate.
Експлуатація вже активно триває. Уразливість охоплює FortiVoice, FortiMail, FortiNDR, FortiRecorder та FortiCamera і дозволяє зловмиснику повністю захопити контроль над пристроєм. Помилка полягає в обробці параметра enc у cookie AuthHash, де відсутня належна перевірка меж. Python-експлойт відправляє спеціально сформований POST-запит, який викликає переповнення буфера, не потребуючи жодної автентифікації. Fortinet підтвердила, що атаки вже тривають: після компрометації зловмисники активно видаляють журнали, вмикають перехоплення SSH-даних, змінюють crontab і залишають бекдори типу /bin/wpad_ac_helper. Компанія Fortinet вже випустила патчі для всіх згаданих продуктів.
Мінімальні безпечні версії: FortiVoice 7.2.1+, FortiMail 7.6.3+, FortiNDR 7.6.1+, FortiRecorder 7.2.4+, FortiCamera 2.1.4+. Як тимчасовий захід можна відключити HTTP/HTTPS-адмінінтерфейси. Але головне — негайне оновлення систем. Відомі IP-адреси атакуючих: 198.105.127.124, 43.228.217.173, 156.236.76.90 тощо — їх необхідно заблокувати. Виявлено сліди повної розвідки мережі та постійного закріплення в системі. Наявність робочого експлойту у відкритому доступі підвищує ризик масового злому невиправлених систем.
Організації повинні негайно оновити Fortinet-продукти, відстежити потенційні компрометації та вжити заходів для мінімізації ризику витоку даних. Уразливість із CVSS 9.8 вимагає негайної реакції.
