Vulnérabilité critique dans FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera

Produits concernés

FortiCamera version 1.1.0 à 2.1.3
FortiMail version 7.0.0 à 7.6.2
FortiNDR version 1.1.0 à 7.6.0
FortiRecorder version 6.4.0 à 7.2.3
FortiVoice version 6.4 à 7.2.0

Prérequis

Version vulnérable d’un des produits concernés
Accès à l’interface d’administration en HTTP/HTTPS

Risques

Exécution de code arbitraire
Fuite de données
Compromission de l’équipement
Accès au réseau interne de l’entreprise

Résumé

Fortinet a publié un avis de sécurité sur une vulnérabilité critique affectant ses produits FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera, activement exploitée et permettant une compromission complète.

CVE-2025-32756 : Le 13 mai 2025, une faille a été identifiée, permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance. Fortinet confirme l’exploitation active de cette vulnérabilité sur le produit FortiVoice.

L’exploitation de cette CVE permet une compromission complète du produit, exposant les entreprises à des risques critiques de sécurité.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, Fortinet a mis à disposition plusieurs indicateurs de compromission:

Via la commande ‘diagnose debug application httpd display trace-log’:

[x x x x:x:x.x 2025] [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection
[x x x x:x:x.x 2025] [fcgid:error] [pid 1503] mod_fcgid: process /migadmin/www/fcgi/admin.fe(1741) exit(communication error), get unexpected signal 11

‍

Les adresses IP suivantes ont été utilisées par des attaquants :

198[.]105.127.124
43[.]228.217.173
43[.]228.217.82
156[.]236.76.90
218[.]187.69.244
218[.]187.69.59

‍

Identifier l’activation potentiellement non-légitime du debugging fcgi via la commande ‘diag debug application fcgi’ :

fcgi debug level is 0x80041
general to-file ENABLED

‍

Des traces peuvent avoir été laissées sur des fichiers :

Fichier	MD5	Description
/bin/wpad_ac_helper	4410352e110f82eabc0bf160bec41d21	Main malware file
/bin/busybox	ebce43017d2cb316ea45e08374de7315	Possibly modified binary
/bin/busybox	489821c38f429a21e1ea821f8460e590	Possibly modified binary
/var/spool/.sync	-	Fichier de stockage des identifiants récupérés
/etc/pam.d/sshd	-	Ajout de lignes malveillantes pour charger libfmlogin.so
/lib/libfmlogin.so	364929c45703a84347064e2d5de45bcd	Bibliothèque malveillante qui log les identifiants SSH
/tmp/.sshdpm	-	Identifiants récupérés par libfmlogin.so
/bin/fmtest	2c8834a52faee8d87cff7cd09c4fb946	Script pour scanner le réseau
/etc/httpd.conf	-	Ajout malveillant : `LoadModule socks5_module modules/mod_socks5.so`

‍

/data/etc/crontab - Ajout d’une ligne pour grep des données sensibles dans fcgi.debug :

0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug
> /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug

‍

/var/spool/cron/crontabs/root - Une ligne a été ajoutée pour copier fcgi.debug :

0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug

‍

Remédiation :

Mettre à jour :

FortiCamera vers 2.1.4

FortiMail vers les versions 7.6.3, 7.4.5, 7.2.8 ou 7.0.9

FortiNDR vers les versions 7.6.1, 7.4.8 ou 7.2.5

FortiRecorder vers les versions 7.2.4, 7.0.6 ou 6.4.6

FortiVoice vers les versions 7.2.1, 7.0.7 ou 6.4.11

‍

Mitigations :

Désactivation de l’interface d’administration HTTP/HTTPS

Références

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !

Oups ! Une erreur est survenue lors de l'envoi du formulaire.

Bulletins de Sécurité