ISGroup Consultoría de Ciberseguridad

Vulnerabilidad crítica de desbordamiento de pila (CVE-2025-32756) en múltiples productos Fortinet permite la ejecución remota de código

Una grave vulnerabilidad de seguridad, identificada como CVE-2025-32756, ha sido descubierta en varios productos de seguridad de red de Fortinet, incluidos FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Esta vulnerabilidad es crítica, ya que puede ser explotada por atacantes remotos sin necesidad de credenciales de acceso. Si se explota con éxito, un atacante podría obtener el control total de los dispositivos Fortinet afectados, con consecuencias potencialmente graves como violaciones de seguridad, robo de datos, interrupción de la red o el uso del dispositivo comprometido para ataques adicionales. Las organizaciones que utilizan estos productos de Fortinet deben tratar esta vulnerabilidad con la máxima prioridad.

ProductoFortinet FortiNDR
Fecha28-05-2025 09:39:33
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

CVE-2025-32756 es una vulnerabilidad de desbordamiento de búfer basado en pila (CWE-121) presente en el mecanismo de gestión de solicitudes HTTP de varios productos de Fortinet. En particular, el defecto se encuentra en la ruta /remote/login. Un atacante remoto no autenticado puede activar este desbordamiento enviando solicitudes HTTP especialmente modificadas, generalmente manipulando el contenido o la longitud de los datos en determinados componentes de la solicitud, como las cookies o los parámetros.

El desbordamiento permite al atacante sobrescribir datos críticos en la pila, incluidos los punteros de instrucción guardados (como la dirección de retorno). Al controlar cuidadosamente los datos sobrescritos, un atacante puede redirigir el flujo de ejecución del programa. Esto se logra a menudo utilizando técnicas ROP (Return-Oriented Programming), donde fragmentos de código existentes (gadgets) en la memoria de la aplicación comprometida se concatenan para ejecutar comandos arbitrarios.

Un exploit ejecutado con éxito puede garantizar al atacante la ejecución de código con los privilegios del servicio de Fortinet afectado, los cuales pueden ser elevados (por ejemplo, acceso root o de sistema, dependiendo del producto y la arquitectura del servicio). Este exploit presupone un entorno en el que las protecciones como ASLR (Address Space Layout Randomization) y los “stack canaries” están ausentes, deshabilitados o pueden ser eludidos, y donde ciertas direcciones de memoria (por ejemplo, para los gadgets ROP y funciones de biblioteca como system()) son conocidas o predecibles con fiabilidad. El exploit implica típicamente la entrega de un payload que contiene shellcode o una cadena ROP que ejecuta un comando, como escribir un archivo en el sistema de archivos para verificación o establecer una reverse shell.

Recomendaciones

Dada la naturaleza crítica de CVE-2025-32756 y el potencial de ejecución remota de código sin autenticación, es necesario actuar de inmediato:

  1. Aplicar los parches inmediatamente: dar prioridad a la aplicación de los parches de seguridad y las actualizaciones de firmware lanzadas por Fortinet para todos los productos afectados (FortiVoice, FortiMail, FortiNDR, FortiRecorder, FortiCamera) tan pronto como estén disponibles. Monitorear atentamente los avisos de seguridad de Fortinet.
  2. Limitar los accesos (mitigación): si no es posible aplicar los parches de inmediato, limitar el acceso de red a las interfaces de gestión y a cualquier ruta vulnerable (ej. /remote/login) de los dispositivos Fortinet afectados. Permitir el acceso solo desde direcciones IP confiables y redes internas de gestión. Evitar, si es posible, exponer estas interfaces directamente a Internet.
  3. Segmentación de la red: asegurarse de que los dispositivos afectados estén adecuadamente segmentados dentro de la red para limitar el impacto potencial de una vulneración.
  4. Web Application Firewall (WAF): si se ha implementado un WAF frente a los dispositivos Fortinet, considerar la creación de reglas personalizadas para inspeccionar y bloquear datos demasiado largos o malformados en los componentes de las solicitudes HTTP (como cookies o parámetros específicos) dirigidos a las rutas vulnerables conocidas. Sin embargo, esta medida debe considerarse solo una mitigación temporal y no sustituye la aplicación de los parches.

[Callforaction-THREAT-Footer]

In