8
أصدرت شركة فورتينيت تصحيحًا عاجلًا لثغرة أمنية خطيرة تم استغلالها كثغرة صفر يوم في أنظمة FortiVoice الخاصة بالهواتف المؤسسية. الثغرة تُعرف باسم CVE-2025-32756 وتحصل على درجة CVSS عالية تبلغ 9.6 من 10.
CVE-2025-32756: ثغرة RCE خطيرة تم استغلالها في الهجمات
الثغرة، التي تُعتبر من نوع “Overflow على الطابور” (CWE-121)، يمكن أن تسمح لهجوم من بعد غير مصادق عليه بتنفيذ أكواد ضارة أو الأوامر عبر طلبات HTTP مزورة. وقد تم رصد هذه الثغرة في أنظمة FortiVoice، بالإضافة إلى منتجات أخرى مثل FortiMail، FortiNDR، FortiRecorder، وFortiCamera.
أشارت شركة فورتينيت إلى أنها شهدت استغلال هذه الثغرة في الهجمات الواقعية، لكنها لم تكشف عن حجم الهجمات أو هوية المهاجمين.
كيف تم استغلال الثغرة؟
تم رصد أن المهاجمون قاموا بمسح سجلات الأعطال في النظام، وتفعيل الوضع التصليحي (fcgi debugging) لتسجيل كلمات المرور أو محاولات تسجيل الدخول عبر SSH. كما قاموا بمسح البيانات بشكل انتقائي لتجنب الكشف عن نشاطهم.
وقد تم تحديد العناوين IP التي تعود إليها النشاطات المشبوهة، وهي:
- 198.105.127.124
- 43.228.217.173
- 43.228.217.82
- 156.236.76.90
- 218.187.69.244
- 218.187.69.59
المنتجات المتضررة والتحديثات الموصى بها
الثغرة تؤثر على المنتجات التالية:
- FortiCamera 1.1, 2.0 (مigrate to a fixed release)
- FortiCamera 2.1.x (upgrade to 2.1.4 or above)
- FortiMail 7.0.x (upgrade to 7.0.9 or above)
- FortiMail 7.2.x (upgrade to 7.2.8 or above)
- FortiMail 7.4.x (upgrade to 7.4.5 or above)
- FortiMail 7.6.x (upgrade to 7.6.3 or above)
- FortiNDR 1.1, 1.2, 1.3, 1.4, 1.5, 7.1 (migrate to a fixed release)
- FortiNDR 7.0.x (upgrade to 7.0.7 or above)
- FortiNDR 7.2.x (upgrade to 7.2.5 or above)
- FortiNDR 7.4.x (upgrade to 7.4.8 or above)
- FortiNDR 7.6.x (upgrade to 7.6.1 or above)
- FortiRecorder 6.4.x (upgrade to 6.4.6 or above)
- FortiRecorder 7.0.x (upgrade to 7.0.6 or above)
- FortiRecorder 7.2.x (upgrade to 7.2.4 or above)
- FortiVoice 6.4.x (upgrade to 6.4.11 or above)
- FortiVoice 7.0.x (upgrade to 7.0.7 or above)
- FortiVoice 7.2.x (upgrade to 7.2.1 or above)
نصائح للحماية
يُنصح المستخدمين بتطبيق التحديثات اللازمة لحماية أنظمتهم من الاستغلال الفعلي. وإذا لم يكن بالإمكان تطبيق التحديث فورًا، يُوصى بإيقاف واجهة الإدارة عبر HTTP/HTTPS كحل مؤقت.
“نُنوه إلى أهمية تحديث الأنظمة باستمرار، حيث تساعد التحديثات الأمنية في منع الاستغلالات المحتملة”، وفقًا لبيان فورتينيت.
