{"id":10685,"date":"2025-05-13T18:16:24","date_gmt":"2025-05-13T23:16:24","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10685"},"modified":"2025-05-13T18:25:10","modified_gmt":"2025-05-13T23:25:10","slug":"alerta-2025-41-falla-critica-en-fortinet-explotado-activamente","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-41-falla-critica-en-fortinet-explotado-activamente\/","title":{"rendered":"Alerta 2025-41 Falla Cr\u00edtica en Fortinet explotado activamente"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>FortiVoice: versiones 6.4.0\u20136.4.10, 7.0.0\u20137.0.6 y 7.2.0.<\/li>\n\n\n\n<li>FortiMail: versiones hasta la 7.6.2.<\/li>\n\n\n\n<li>FortiNDR: todas las versiones 1.x y versiones 7.x anteriores a la 7.6.1.<\/li>\n\n\n\n<li>FortiRecorder: versiones hasta la 7.2.3.<\/li>\n\n\n\n<li>FortiCamera: versiones hasta la 2.1.3.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha revelado una vulnerabilidad cr\u00edtica de desbordamiento de b\u00fafer basada en Stack, identificada como CVE-2025-32756, que afecta a una amplia gama de sus productos de seguridad y red de Fortinet. Con una puntuaci\u00f3n CVSS de 9,6,&nbsp;<strong>esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar c\u00f3digo o comandos arbitrarios mediante solicitudes HTTP especialmente dise\u00f1adas<\/strong>.<\/p>\n\n\n\n<p>Una vulnerabilidad de desbordamiento basada en Stack [CWE-121] en FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera podr\u00eda permitir que un atacante remoto no autenticado ejecute c\u00f3digo o comandos arbitrarios mediante solicitudes HTTP dise\u00f1adas<\/p>\n\n\n\n<p>Fortinet ha confirmado su explotaci\u00f3n activa, especialmente en sistemas FortiVoice.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Indicadores de Compromiso<\/h2>\n\n\n\n<p>El proveedor ha proporcion\u00f3 una lista completa de archivos, procesos y registros asociados con explotaciones conocidas:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Registros Logs<\/h4>\n\n\n\n<p>Las siguientes entradas de registro son posibles IOC:<\/p>\n\n\n\n<p>Salida del comando CLI :<\/p>\n\n\n\n<p>diagnose <strong>debug<\/strong> application httpd display <strong>trace<\/strong>-log<\/p>\n\n\n\n<p><em>[x x x x:x:x.x 2025] [fcgid:warn] [pid 1829] [client x.x.x.x:x] mod_fcgid: error reading data, FastCGI server closed connection<br>[x x x x:x:x.x 2025] [fcgid:error] [pid 1503] mod_fcgid: process \/migadmin\/www\/fcgi\/admin.fe(1741) exit(communication error), get unexpected signal 11<\/em><\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Archivos:<\/h4>\n\n\n\n<p>Los siguientes archivos del sistema pueden haber sido modificados o a\u00f1adido:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>[Archivo a\u00f1adido] \/bin\/wpad_ac_helper &#8211; MD5:4410352e110f82eabc0bf160bec41d21 &#8211; archivo principal de malware<\/li>\n\n\n\n<li>[Archivo a\u00f1adido] \/bin\/busybox &#8211; MD5:ebce43017d2cb316ea45e08374de7315 y 489821c38f429a21e1ea821f8460e590<\/li>\n\n\n\n<li>\/data\/etc\/crontab &#8211; Se a\u00f1adi\u00f3 una l\u00ednea para buscar datos sensibles desde fcgi.debug<\/li>\n\n\n\n<li>\/var\/spool\/cron\/crontabs\/root &#8211; Se a\u00f1adi\u00f3 una l\u00ednea para hacer una copia de seguridad de fcgi.debug<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\/var\/spool\/cron\/crontabs\/root &#8211; Se a\u00f1adi\u00f3 una l\u00ednea para hacer una copia de seguridad de fcgi.debug:<\/li>\n\n\n\n<li>[Archivo a\u00f1adido] \/var\/spool\/.sync &#8211; Las credenciales se recopilan en este archivo mediante los trabajos cron anteriores.<\/li>\n\n\n\n<li>\/etc\/pam.d\/sshd &#8211; Se a\u00f1adieron l\u00edneas Se agreg\u00f3 para incluir libfmlogin.so malicioso<\/li>\n\n\n\n<li>[Archivo agregado] \/lib\/libfmlogin.so &#8211; MD5:364929c45703a84347064e2d5de45bcd &#8211; biblioteca maliciosa que registra el nombre de usuario y la contrase\u00f1a mediante el inicio de sesi\u00f3n SSH.<\/li>\n\n\n\n<li>[Archivo agregado] \/tmp\/.sshdpm &#8211; contiene credenciales recopiladas por \/lib\/libfmlogin.so anterior<\/li>\n\n\n\n<li>[Archivo agregado] \/bin\/fmtest &#8211; MD5: 2c8834a52faee8d87cff7cd09c4fb946 &#8211; Script para escanear la red<\/li>\n\n\n\n<li>\/etc\/httpd.conf &#8211; Se agreg\u00f3 una l\u00ednea para incluir calcetines.so: LoadModule calcetines5_module m\u00f3dulos\/mod_socks5.so<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n temporal:<\/h2>\n\n\n\n<p>Deshabilitar la interfaz administrativa HTTP\/HTTPS.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n<\/h2>\n\n\n\n<p>El proveedor ha lanzado parches de seguridad que corrigen dicha vulnerabilidad y varias versiones y productos:<\/p>\n\n\n\n<p>En la siguiente enlace podr\u00e1 encontrar informaci\u00f3n para la actualizaci\u00f3n de sus dispositivos afectados:<\/p>\n\n\n\n<p><a href=\"https:\/\/docs.fortinet.com\/upgrade-tool\/fortigate\">https:\/\/docs.fortinet.com\/upgrade-tool\/fortigate<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/fortiguard.fortinet.com\/psirt\/FG-IR-25-254\">https:\/\/fortiguard.fortinet.com\/psirt\/FG-IR-25-254<\/a><\/li>\n\n\n\n<li>https:\/\/blog.segu-info.com.ar\/2025\/05\/falla-critica-en-fortinet-explotado.html<\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-32756\">https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-32756<\/a><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":0,"template":"","class_list":["post-10685","publicacion","type-publicacion","status-publish","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":8,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10685\/revisions"}],"predecessor-version":[{"id":10698,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10685\/revisions\/10698"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}