Salta al contenuto principale


Fortinet: RCE critica su FortiVoice già sfruttata attivamente in campo. Aggiornate subito!


Come abbiamo visto recentemente, Fortinet ha rilasciato una patch per una vulnerabilità critica di tipo Remote Code Execution (RCE), tracciata come CVE-2025-32756, giàsfruttata attivamentein campagne mirate contro i sistemi FortiVoice. La falla presenta un punteggio CVSS di 9.6 su 10, indicando un livello di rischio molto elevato.

Una vulnerabilità di overflow già sfruttata in produzione


Il problema risiede in un stack-based overflow (CWE-121) che può essere attivato da remoto tramite richieste HTTP appositamente predisposte. L’attacco non richiede autenticazione, rendendo i sistemi esposti particolarmente vulnerabili.

I prodotti interessati sono diversi, tra cui:

  • FortiVoice
  • FortiMail
  • FortiNDR
  • FortiRecorder
  • FortiCamera

Fortinet ha confermato che la vulnerabilità è stata già sfruttata sul campo, in particolare contro FortiVoice. Gli attaccanti hanno condotto attività di ricognizione di rete, eliminazione dei log di crash e abilitazione del debug fcgi, verosimilmente con l’obiettivo di catturare credenziali di accesso SSH o dell’interfaccia amministrativa.

Indicatori di compromissione


L’attività malevola è stata associata a una serie di indirizzi IP, da considerare come IoC (Indicatori di Compromissione):
198.105.127.12443.228.217.17343.228.217.82156.236.76.90218.187.69.244218.187.69.59
Fortinet non ha specificato l’identità del gruppo di attacco, né l’ampiezza delle infezioni rilevate.

Versioni vulnerabili e aggiornamenti consigliati


Sono coinvolte diverse versioni dei prodotti Fortinet. Tra queste:

FortiVoice


  • 6.4.x → aggiornare a 6.4.11 o superiore
  • 7.0.x → aggiornare a 7.0.7 o superiore
  • 7.2.x → aggiornare a 7.2.1 o superiore


FortiMail


  • 7.0.x → aggiornare a 7.0.9
  • 7.2.x → aggiornare a 7.2.8
  • 7.4.x → aggiornare a 7.4.5
  • 7.6.x → aggiornare a 7.6.3


FortiNDR


  • 1.1–1.5, 7.1 → migrare a una versione corretta
  • 7.0.x → aggiornare a 7.0.7
  • 7.2.x → aggiornare a 7.2.5
  • 7.4.x → aggiornare a 7.4.8
  • 7.6.x → aggiornare a 7.6.1


FortiRecorder


  • 6.4.x → aggiornare a 6.4.6
  • 7.0.x → aggiornare a 7.0.6
  • 7.2.x → aggiornare a 7.2.4


FortiCamera


  • 1.1, 2.0 → migrare a una versione corretta
  • 2.1.x → aggiornare a 2.1.4

Nel caso in cui non sia possibile aggiornare immediatamente, Fortinet consiglia di disabilitare le interfacce amministrative HTTP/HTTPS come misura temporanea per ridurre la superficie di attacco.

Conclusioni


Questa vulnerabilità conferma ancora una volta l’importanza della gestione tempestiva delle patch, soprattutto in ambienti dove appliance critiche come FortiVoice e FortiMail sono esposte in rete.

Per i team IT e di sicurezza è fondamentale:

  • Verificare la presenza delle versioni vulnerabili;
  • Applicare gli aggiornamenti ufficiali quanto prima;
  • Controllare i sistemi per attività anomale compatibili con gli indicatori pubblicati.

L'articolo Fortinet: RCE critica su FortiVoice già sfruttata attivamente in campo. Aggiornate subito! proviene da il blog della sicurezza informatica.