Fortinet corrige un zero day crítico explotado en ataques a FortiVoice

Fortinet ha reportado una vulnerabilidad crítica de desbordamiento de búfer basado en pila (stack-based overflow) (CWE-121), identificada como CVE-2025-32756. Esta falla afecta a múltiples productos de la compañía, incluyendo FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Fortinet ha confirmado que esta vulnerabilidad está siendo explotada activamente, principalmente en dispositivos FortiVoice. Las acciones observadas por actores maliciosos incluyen escaneo de red, habilitación de depuración para captura de credenciales y eliminación de logs del sistema para ocultar sus rastros.

• CVE-2025-32756 (CVSS 9.6)
  Este fallo de seguridad aprovecha un desbordamiento de búfer basado en pila que puede ser explotado mediante solicitudes HTTP manipuladas, permitiendo la ejecución remota de código sin necesidad de autenticación. El impacto es crítico, ya que permite la toma de control total sobre los dispositivos comprometidos.

PRODUCTOS AFECTADOS

• FortiCamera (2.1.0 – 2.1.3), FortiCamera 2.0 (todas las versiones) y FortiCamera 1.1 (todas las versiones)
• FortiMail (7.6.0 – 7.6.2), FortiMail (7.4.0 – 7.4.4), FortiMail (7.2.0 – 7.2.7) y FortiMail (7.0.0 – 7.0.8)
• FortiNDR (7.6.0), FortiNDR (7.4.0 – 7.4.7), FortiNDR (7.2.0 – 7.2.4) y FortiNDR 7.1/7.0/1.5/1.4/1.3/1.2/1.1 (todas las versiones)
• FortiRecorder (7.2.0 – 7.2.3), FortiRecorder (7.0.0 – 7.0.5), FortiRecorder (6.4.0 – 6.4.5)
• FortiVoice (7.2.0), FortiVoice (7.0.0 – 7.0.6) y FortiVoice (6.4.0 – 6.4.10)

SOLUCIÓN

• FortiCamera: actualizar a 2.1.4 o superior
• FortiMail: actualizar a 7.6.3, 7.4.5, 7.2.8 o 7.0.9 según versión
• FortiNDR: actualizar a 7.6.1, 7.4.8, 7.2.5, 7.0.7 o migrar
• FortiRecorder: actualizar a 7.2.4, 7.0.6 o 6.4.6
• FortiVoice: actualizar a 7.2.1, 7.0.7 o 6.4.11.

WORKAROUND

• Deshabilitar servicios HTTP/HTTPS en interfaces administrativas externas hasta que se apliquen las actualizaciones respectivas.

RECOMENDACIONES

• Actualizar todos los dispositivos Fortinet afectados a la versión correspondiente que corrige la vulnerabilidad.
• Limitar el acceso administrativo exclusivamente a redes internas confiables.
• Implementar monitoreo activo en búsqueda de actividades anómalas o indicadores de compromiso relacionados con esta vulnerabilidad.

Referencias:

• https://www.fortiguard.com/psirt/FG-IR-25-254
• https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-zero-day-exploited-in-fortivoice-attacks/
• https://blog.ehcgroup.io/2025/05/13/11/34/25/18309/falla-critica-en-fortinet-explotado-activamente-cve-2025-32756/noticias-de-seguridad/ehacking/
• https://cybersecuritynews.com/fortivoice-0-day-vulnerability/