CVE-2025-32756
Fortinet Multiple Products
2025-05-14
Fortinet FortiFone, FortiVoice, FortiNDR and FortiMail contain a stack-based overflow vulnerability that may allow a remote unauthenticated attacker to execute arbitrary code or commands via crafted HTTP requests.
Технический анализ и план устранения
Суть уязвимости
CVE-2025-32756 представляет собой критическую уязвимость типа Stack-based Buffer Overflow (переполнение буфера в стеке) в HTTP-сервисах управления продуктов Fortinet.
Уязвимость возникает из-за недостаточной проверки длины входных данных при обработке специально сформированных HTTP-запросов. Поскольку переполнение происходит в стеке, удаленный неавторизованный злоумышленник может перезаписать адрес возврата функции и перехватить поток выполнения программы. Это позволяет выполнить произвольный код (RCE) или системные команды с привилегиями суперпользователя (root) без необходимости аутентификации.
Как исправить
Основным способом устранения является обновление прошивки (Firmware) до версий, в которых данная ошибка исправлена. Необходимо загрузить соответствующие пакеты с портала поддержки Fortinet (support.fortinet.com).
Для FortiMail: Обновитесь до версии 7.2.9, 7.4.4 или выше.
Для FortiVoice: Обновитесь до версии 7.0.10, 7.4.2 или выше.
Для FortiNDR: Обновитесь до версии 7.4.2 или выше.
Для FortiFone: Обновитесь до версии 3.0.14 или выше.
Пример команды для проверки текущей версии через CLI:
get system status
Пример команды для загрузки и установки образа (через TFTP):
execute restore config tftp <filename> <tftp_ipv4>
Временные меры
Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к интерфейсам управления.
1. Ограничение доступа к административному интерфейсу (Local In Policy) Разрешите доступ к HTTP/HTTPS портам управления только с доверенных IP-адресов (Management VLAN/VPN).
2. Отключение неиспользуемых HTTP/HTTPS сервисов на внешних интерфейсах Убедитесь, что административный доступ отключен на всех интерфейсах, смотрящих в интернет.
config system interface
edit <interface_name>
unset allowaccess http https
next
end
3. Использование Trusted Hosts Настройте список доверенных хостов для каждой учетной записи администратора.
config system admin
edit <admin_user>
set trusthost1 <trusted_ip_mask>
next
end
4. Активация сигнатур IPS Если перед уязвимыми устройствами стоит FortiGate, убедитесь, что база сигнатур IPS обновлена и включена защита для трафика, направленного на эти устройства. Ищите сигнатуры, связанные с "Fortinet.Products.HTTP.Stack.Buffer.Overflow".