Fortinet, líder en soluciones de ciberseguridad, ha emitido un parche de seguridad urgente para una vulnerabilidad crítica de día cero que ha sido explotada activamente en ataques dirigidos a los sistemas telefónicos empresariales FortiVoice. La falla, identificada como CVE-2025-32756, posee una puntuación CVSS de 9,6 sobre 10, lo que la convierte en una amenaza de alta severidad.
Según el aviso de seguridad publicado por Fortinet, CVE-2025-32756 corresponde a una vulnerabilidad de desbordamiento basado en pila (CWE-121) que afecta a múltiples productos de la compañía, incluidos FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Esta falla permite a un atacante remoto no autenticado ejecutar código arbitrario o comandos maliciosos mediante solicitudes HTTP especialmente diseñadas.
Explotación activa en FortiVoice y acciones del actor de amenazas
Fortinet confirmó que la vulnerabilidad fue explotada activamente en sistemas FortiVoice en escenarios del mundo real, aunque no reveló la magnitud de los ataques ni la identidad de los atacantes. Los informes técnicos indican que los actores de amenazas llevaron a cabo escaneos en la red del dispositivo, borraron registros del sistema y habilitaron la depuración FCGI con el objetivo de registrar credenciales de acceso y monitorear intentos de inicio de sesión vía SSH.
Productos afectados por CVE-2025-32756
La vulnerabilidad impacta a las siguientes versiones de productos Fortinet:
-
FortiCamera: versiones 1.1, 2.0 (migrar a versión corregida); 2.1.x (actualizar a 2.1.4 o superior)
-
FortiMail:
-
7.0.x (actualizar a 7.0.9 o superior)
-
7.2.x (actualizar a 7.2.8 o superior)
-
7.4.x (actualizar a 7.4.5 o superior)
-
7.6.x (actualizar a 7.6.3 o superior)
-
-
FortiNDR:
-
1.1, 1.2, 1.3, 1.4, 1.5, 7.1 (migrar a una versión fija)
-
7.0.x (actualizar a 7.0.7 o superior)
-
7.2.x (actualizar a 7.2.5 o superior)
-
7.4.x (actualizar a 7.4.8 o superior)
-
7.6.x (actualizar a 7.6.1 o superior)
-
-
FortiRecorder:
-
6.4.x (actualizar a 6.4.6 o superior)
-
7.0.x (actualizar a 7.0.6 o superior)
-
7.2.x (actualizar a 7.2.4 o superior)
-
-
FortiVoice:
-
6.4.x (actualizar a 6.4.11 o superior)
-
7.0.x (actualizar a 7.0.7 o superior)
-
7.2.x (actualizar a 7.2.1 o superior)
-
IPs asociadas a la actividad maliciosa
El equipo de seguridad de productos de Fortinet descubrió la vulnerabilidad a partir de actividades sospechosas provenientes de las siguientes direcciones IP, asociadas al actor de amenazas:
-
198.105.127.124
-
43.228.217.173
-
43.228.217.82
-
156.236.76.90
-
218.187.69.244
-
218.187.69.59
Recomendaciones de seguridad para usuarios de Fortinet
Fortinet recomienda encarecidamente a todos los usuarios de FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera que actualicen de inmediato sus sistemas a las versiones corregidas para evitar la explotación activa de esta vulnerabilidad.
En caso de que no sea posible aplicar los parches de seguridad de forma inmediata, la compañía sugiere deshabilitar la interfaz administrativa HTTP/HTTPS como medida temporal de mitigación para reducir la superficie de ataque.
Fuente: The Hacker News
