Пока вы читаете это, ваша система Fortinet может быть уже заражена через простой HTTP-запрос
Один баг в Fortinet дал хакерам доступ к звонкам, почте и внутренним логам компаний.
Специалисты опубликовали подробный анализ критической уязвимости нулевого дня CVE-2025-32756 , которая затрагивает сразу несколько продуктов Fortinet. Проблема активно эксплуатируется злоумышленниками в реальных атаках и угрожает корпоративные системы.
Уязвимость CVE-2025-32756 (оценка CVSS: 9.8) связана с переполнением буфера в стеке (stack-based buffer overflow) и присутствует в административном API. Она позволяет удалённым неаутентифицированным атакующим выполнять произвольный код через специально сформированные HTTP-запросы. Под удар попали ключевые линейки Fortinet: FortiVoice, FortiMail, Forti NDR , FortiRecorder и FortiCamera — сразу в нескольких версиях.
Технический разбор Horizon3 показал, что ошибка кроется в функции cookieval_unwrap() библиотеки libhttputil.so, которая некорректно проверяет границы при обработке значения APSCOOKIE. В результате в уязвимых версиях возможно переполнение 16-байтового буфера и перезапись критических значений стека, включая адрес возврата. В патчах уже реализованы ограничения на размер значения AuthHash, которые исключают такую возможность.
Fortinet подтвердил факт активной эксплуатации уязвимости, особенно в отношении систем FortiVoice. По наблюдениям команды Product Security, злоумышленники проводили сетевое сканирование, извлекали учётные данные и манипулировали логами. Среди зафиксированной активности — удаление журналов аварийных сбоев, активация отладки FCGI для перехвата попыток авторизации, включая входы по SSH, установка вредоносного ПО и настройка cron-заданий для постоянной кражи учётных данных.
CVE-2025-32756 попала в каталог активно эксплуатируемых уязвимостей (KEV) уже 14 мая 2025 года — всего через день после первого предупреждения от Fortinet. CISA обязало все федеральные структуры устранить уязвимость до 4 июня, что подчёркивает срочность проблемы.
Столь стремительное включение в KEV говорит о масштабности угрозы и её потенциальном влиянии на инфраструктуру компаний, полагающихся на решения Fortinet. Ситуация осложняется тем, что доступен подробный технический PoC, а эксплуатация уязвимости не требует высокой квалификации, что повышает риски массовых атак в ближайшее время.
Fortinet настоятельно рекомендует срочное обновление всех затронутых продуктов. Для тех, кто не может провести обновление немедленно, временным решением станет отключение административного интерфейса HTTP/HTTPS. Для FortiVoice предложены обновления до версий 7.2.1, 7.0.7 или 6.4.11, а для FortiMail — до 7.6.3, 7.4.5, 7.2.8 или 7.0.9.