Η Fortinet προχώρησε στην έκδοση έκτακτων ενημερώσεων ασφαλείας για την επιδιόρθωση μιας σοβαρής ευπάθειας, που επιτρέπει απομακρυσμένη εκτέλεση κώδικα και αξιοποιείται ήδη ενεργά από εγκληματίες ως zero-day. Το πρόβλημα εντοπίζεται κυρίως στα τηλεφωνικά συστήματα FortiVoice, αλλά επηρεάζει επίσης τα FortiMail, FortiNDR, FortiRecorder και FortiCamera.
Το σφάλμα, που παρακολουθείται ως CVE-2025-32756, είναι μια stack-based overflow ευπάθεια και επιτρέπει την απομακρυσμένη εκτέλεση εντολών μέσω ειδικά τροποποιημένων HTTP αιτημάτων, χωρίς να απαιτείται έλεγχος ταυτότητας του εισβολέα.
Δείτε επίσης: Το νέο SuperBlack ransomware εκμεταλλεύεται ευπάθειες Fortinet
Σύμφωνα με την εταιρεία, η Ομάδα Ασφάλειας Προϊόντων της Fortinet εντόπισε την ευπάθεια αναλύοντας κακόβουλη δραστηριότητα στο δίκτυο. Τα ευρήματα περιελάμβαναν εκτεταμένες σαρώσεις, προσπάθειες απόκρυψης ιχνών μέσω διαγραφής αρχείων καταγραφής, καθώς και ενεργοποίηση της λειτουργίας “fcgi debugging” για συλλογή διαπιστευτηρίων.
Οι επιθέσεις φαίνεται να προέρχονται από τουλάχιστον έξι διαφορετικές διευθύνσεις IP, συμπεριλαμβανομένων των:
- 198.105.127[.]124
- 43.228.217[.]173
- 43.228.217[.]82
- 156.236.76[.]90
- 187.69[.]244
- 218.187.69[.]59
Ένας από τους βασικούς δείκτες παραβίασης, που αναδείχθηκαν κατά την ανάλυση των περιστατικών, ήταν η ενεργοποίηση της λειτουργίας fcgi debugging, η οποία συνήθως δεν είναι ενεργή από προεπιλογή. Η παρουσία της σε ένα σύστημα αποτελεί ένδειξη πιθανής παραβίασης.
Για να ελέγξετε εάν αυτή η ρύθμιση είναι ενεργοποιημένη στο σύστημά σας, θα πρέπει να δείτε το “general to-file ENABLED” αφού εκτελέσετε την ακόλουθη εντολή: diag debug application fcgi.
Δείτε επίσης: Ενημερωμένη έκδοση του SAP διορθώνει zero-day και 15 ευπάθειες
Κατά τη διερεύνηση αυτών των επιθέσεων, η Fortinet παρατήρησε την ανάπτυξη malware σε συσκευές που έχουν παραβιαστεί, με τους επιτιθέμενους να προσθέτουν cron jobs για τη συλλογή διαπιστευτηρίων και να εγκαθιστούν scripts για να σαρώνουν τα δίκτυα των θυμάτων.
Οι χρήστες των επηρεαζόμενων προϊόντων καλούνται να εγκαταστήσουν άμεσα τις διαθέσιμες ενημερώσεις για την αποτροπή περαιτέρω επιθέσεων.
Για τους πελάτες που αδυνατούν να εγκαταστήσουν άμεσα τις τελευταίες ενημερώσεις ασφαλείας, η εταιρεία έχει προτείνει μέτρα προσωρινής άμυνας, όπως απενεργοποίηση του HTTP/HTTPS administrative interface σε εκτεθειμένες και ευάλωτες συσκευές.
Εν τω μεταξύ, το Shadowserver Foundation αποκάλυψε τον περασμένο μήνα ότι περισσότερες από 16.000 συσκευές Fortinet παραμένουν εκτεθειμένες στο διαδίκτυο.
Επιπλέον, η Fortinet είχε προειδοποιήσει από τις αρχές Απριλίου για μια ακόμα κρίσιμη ευπάθεια, αυτή τη φορά στο FortiSwitch, η οποία μπορεί να επιτρέψει σε επιτιθέμενους να τροποποιήσουν εξ αποστάσεως τους κωδικούς πρόσβασης διαχειριστή, εκθέτοντας τα δίκτυα σε σοβαρό κίνδυνο.
Δείτε επίσης: Microsoft Patch Tuesday Μαΐου 2025: Διορθώνει 72 ευπάθειες
Γενικά, η διατήρηση μιας στιβαρής στάσης ασφαλείας είναι ζωτικής σημασίας για την άμυνα έναντι εκμεταλλεύσεων ευπαθειών. Αυτό περιλαμβάνει την ενσωμάτωση πολλαπλών επιπέδων άμυνας, συμπεριλαμβανομένων των συστημάτων ανίχνευσης και πρόληψης εισβολής (IDPS), της τμηματοποίησης δικτύου και της συνεχούς παρακολούθησης για ύποπτες δραστηριότητες.
Επιπλέον, η επένδυση στην εκπαίδευση των εργαζομένων για την αναγνώριση προσπαθειών phishing και άλλων επιθέσεων social engineering μπορεί να μειώσει περαιτέρω την πιθανότητα παραβίασης συστημάτων.
Δίνοντας προτεραιότητα σε στρατηγικές προληπτικής άμυνας παράλληλα με την ταχεία επιδιόρθωση, οι οργανισμοί μπορούν να ενισχύσουν σημαντικά την ανθεκτικότητά τους έναντι τέτοιων απειλών και να προστατεύσουν την υποδομή τους από προηγμένες επιθέσεις στον κυβερνοχώρο.
πηγή: www.bleepingcomputer.com
