Una grave vulnerabilità di sicurezza, identificata come CVE-2025-32756, è stata scoperta in diversi prodotti di sicurezza di rete Fortinet, tra cui FortiVoice, FortiMail, FortiNDR, FortiRecorder e FortiCamera. Questa vulnerabilità è critica poiché può essere sfruttata da attaccanti remoti senza la necessità di credenziali di accesso. Se sfruttata con successo, un attaccante potrebbe assumere il pieno controllo dei dispositivi Fortinet interessati, con conseguenze potenzialmente gravi come violazioni di sicurezza, furto di dati, interruzione della rete o utilizzo del dispositivo compromesso per ulteriori attacchi. Le organizzazioni che utilizzano questi prodotti Fortinet dovrebbero trattare questa vulnerabilità con la massima priorità.

Riassunto tecnico

CVE-2025-32756 è una vulnerabilità di tipo buffer overflow basata sullo stack (CWE-121) presente nel meccanismo di gestione delle richieste HTTP di diversi prodotti Fortinet. In particolare, il difetto si trova nel percorso /remote/login. Un attaccante remoto non autenticato può attivare questo overflow inviando richieste HTTP appositamente modificate, in genere manipolando il contenuto o la lunghezza dei dati in determinati componenti della richiesta, come i cookie o i parametri.

L’overflow consente all’attaccante di sovrascrivere dati critici nello stack, inclusi puntatori delle istruzioni salvati (come l’indirizzo di ritorno). Controllando attentamente i dati sovrascritti, un attaccante può reindirizzare il flusso di esecuzione del programma. Questo viene spesso ottenuto utilizzando tecniche ROP (Return-Oriented Programming), dove frammenti di codice esistenti (gadget) nella memoria dell’applicazione compromessa vengono concatenati insieme per eseguire comandi arbitrari.

Un exploit eseguito con successo può garantire all’attaccante l’esecuzione di codice con i privilegi del servizio Fortinet interessato, che possono essere elevati (ad esempio, accesso root o di sistema a seconda del prodotto e dell’architettura del servizio). Questo exploit presuppone un ambiente in cui le protezioni come ASLR (Address Space Layout Randomization) e stack canaries siano assenti, disabilitate o aggirabili, e dove alcuni indirizzi di memoria (ad esempio per i gadget ROP e le funzioni di libreria come system()) siano noti o prevedibili con affidabilità. L’exploit comporta tipicamente la consegna di un payload contenente shellcode o una catena ROP che esegue un comando, come scrivere un file nel filesystem per verifica o instaurare una reverse shell.

Raccomandazioni

Data la natura critica di CVE-2025-32756 e il potenziale per esecuzione di codice da remoto non autenticata, è necessario agire immediatamente:

1. Applicare le patch immediatamente: dare priorità all’applicazione delle patch di sicurezza e degli aggiornamenti firmware rilasciati da Fortinet per tutti i prodotti interessati (FortiVoice, FortiMail, FortiNDR, FortiRecorder, FortiCamera) non appena disponibili. Monitorare attentamente gli avvisi di sicurezza di Fortinet.
2. Limitare gli accessi (mitigazione): se non è possibile applicare immediatamente le patch, limitare l’accesso di rete alle interfacce di gestione e a qualsiasi percorso vulnerabile (es. /remote/login) dei dispositivi Fortinet interessati. Consentire l’accesso solo da indirizzi IP attendibili e reti interne di gestione. Evitare, se possibile, di esporre queste interfacce direttamente a Internet.
3. Segmentazione della rete: assicurarsi che i dispositivi interessati siano adeguatamente segmentati all’interno della rete per limitare l’impatto potenziale di una compromissione.
4. Web Application Firewall (WAF): se un WAF è implementato davanti ai dispositivi Fortinet, considerare la creazione di regole personalizzate per ispezionare e bloccare dati troppo lunghi o malformati nei componenti delle richieste HTTP (come cookie o parametri specifici) diretti ai percorsi noti vulnerabili. Tuttavia, questa misura dovrebbe essere considerata solo una mitigazione temporanea e non sostituisce l’applicazione delle patch.