CVE-2025-32756

Vulnerabilité Critique chez Fortinet : Exploitation Active et Risques Élevés

Une vulnérabilité de dépassement de tampon basé sur la pile (stack-based buffer overflow), identifiée sous la référence CVE-2025-32756, affecte plusieurs produits Fortinet, notamment FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera. Cette faille critique, avec un score CVSS de 9.8, permet à un attaquant distant et non authentifié d’exécuter du code ou des commandes arbitraires en envoyant des requêtes HTTP spécialement conçues.

Points Clés :

• Type de Vulnérabilité : Dépassement de tampon basé sur la pile (CWE-121).
• Impact : Exécution de code arbitraire à distance, sans authentification.
• Produits Affectés : FortiVoice (versions 7.2.0, 7.0.0-7.0.6, 6.4.0-6.4.10), FortiRecorder (versions 7.2.0-7.2.3, 7.0.0-7.0.5, 6.4.0-6.4.5), FortiMail (versions 7.6.0-7.6.2, 7.4.0-7.4.4, 7.2.0-7.2.7, 7.0.0-7.0.8), FortiNDR (versions 7.6.0, 7.4.0-7.4.7, 7.2.0-7.2.4, 7.0.0-7.0.6), FortiCamera (versions 2.1.0-2.1.3, 2.0 toutes versions, 1.1 toutes versions).
• Vecteur d’Attaque : Requêtes HTTP avec un cookie “hash” spécialement élaboré.

Exploitation Connue et Activités des Attaquants :

Fortinet a confirmé que cette vulnérabilité est activement exploitée. Les attaquants ont été observés en train de :

• Effectuer des scans réseau.
• Supprimer des journaux de crash système pour masquer leurs traces.
• Activer le débogage “fcgi” pour collecter des identifiants.
• Déployer des malwares.
• Mettre en place des tâches cron pour récolter des identifiants.
• Utiliser des scripts pour effectuer de la reconnaissance réseau sur les systèmes compromis.

Recommandations :

Les agences de cybersécurité, telles que la CISA, recommandent d’appliquer les mesures d’atténuation fournies par le vendeur (Fortinet) ou de discontinuer l’utilisation du produit si aucune mitigation n’est disponible. Il est crucial de suivre les instructions spécifiques du fournisseur pour sécuriser les systèmes concernés.

Source