HackerNews 编译,转载请注明出处:
网络安全厂商Fortinet发布安全更新,修复一个已被作为零日漏洞利用的关键远程代码执行漏洞(CVE-2025-32756)。该漏洞影响FortiVoice企业电话系统、FortiMail邮件安全网关、FortiNDR网络检测响应系统、FortiRecorder监控平台及FortiCamera安防设备。
根据7月2日发布的安全公告,远程未认证攻击者可通过构造恶意HTTP请求,利用该基于栈的溢出漏洞执行任意代码或命令。Fortinet产品安全团队通过监测攻击活动发现该漏洞,攻击特征包括:
网络扫描探测行为
删除系统崩溃日志掩盖入侵痕迹
启用fcgi调试模式记录系统凭证和SSH登录尝试
攻击源IP地址包括:198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244, and 218.187.69[.]59。
Fortinet在攻击分析中发现,受感染系统普遍启用了非常规的fcgi调试模式。用户可通过执行诊断命令diag debug application fcgi验证系统状态,若返回general to-file ENABLED则表明存在风险。
调查显示,攻击者在入侵设备后执行以下恶意操作:
部署定制化恶意软件
创建用于窃取凭证的定时任务(cron jobs)
投放网络扫描脚本探测受害者内网
对于无法立即安装补丁的用户,Fortinet建议在受影响设备上禁用HTTP/HTTPS管理接口作为临时缓解措施。该漏洞修补前,上月Shadowserver基金会已发现超过16,000台暴露在公网的Fortinet设备遭新型符号链接后门攻击,攻击者可借此读取历史漏洞设备中的敏感文件。
此外,Fortinet曾在4月初警告存在可远程重置管理员密码的FortiSwitch交换机高危漏洞(CVE-2024-23110),该漏洞CVSS评分9.6,影响全系列版本交换机操作系统。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
