Fortinet 近日發布資安通告,修補一項遭到零時差攻擊利用的重大遠端程式碼執行(Remote Code Execution, RCE)漏洞,該漏洞編號為 CVE-2025-32756,影響範圍涵蓋 FortiVoice、FortiMail、FortiNDR、FortiRecorder 及 FortiCamera 等多項產品,CVSS 風險評分高達 9.6(極高)。
漏洞技術細節與攻擊行為分析
CVE-2025-32756 為一個 堆疊溢位漏洞(CWE-121),攻擊者可透過特製的 HTTP 請求,在無需身份驗證的情況下,遠端執行任意程式碼或系統命令,取得設備控制權限。
Fortinet 表示,此漏洞是由內部產品安全團隊在分析實際攻擊行為時發現。攻擊者入侵後會:
- 發動內部網路掃描
- 刪除系統崩潰紀錄(crash logs)以掩蓋入侵痕跡
- 啟用非預設的 fcgi debugging 功能,用以記錄系統或 SSH 登入嘗試時的帳號密碼
- 部署惡意軟體、設定 cron job 蒐集認證資訊
- 投放指令碼掃描整體網路結構與其他潛在攻擊目標
其中 fcgi debugging 為一項異常指標(Indicator of Compromise, IOC),若在系統上啟用,執行以下指令可進行檢查:
nginx
diag debug application fcgi
若回傳包含「general to-file ENABLED」,即表示該功能已被啟用,系統可能已遭入侵。
已知攻擊來源 IP(建議封鎖)
- 198.105.127[.]124
- 43.228.217[.]173
- 43.228.217[.]82
- 156.236.76[.]90
- 218.187.69[.]244
- 218.187.69[.]59
受影響產品與修補建議版本如下:
FortiVoice
- 6.4.x → 升級至 6.4.11 或以上
- 7.0.x → 升級至 7.0.7 或以上
- 7.2.x → 升級至 7.2.1 或以上
FortiMail
- 7.0.x → 升級至 7.0.9 或以上
- 7.2.x → 升級至 7.2.8 或以上
- 7.4.x → 升級至 7.4.5 或以上
- 7.6.x → 升級至 7.6.3 或以上
FortiNDR
- 1.1–1.5, 7.1 → 建議升級至最新修補版本
- 7.0.x → 升級至 7.0.7 或以上
- 7.2.x → 升級至 7.2.5 或以上
- 7.4.x → 升級至 7.4.8 或以上
- 7.6.x → 升級至 7.6.1 或以上
FortiRecorder
- 6.4.x → 升級至 6.4.6 或以上
- 7.0.x → 升級至 7.0.6 或以上
- 7.2.x → 升級至 7.2.4 或以上
FortiCamera
- 1.1, 2.0 → 建議遷移至已修補版本
- 2.1.x → 升級至 2.1.4 或以上
緊急緩解措施(若暫時無法修補)
對於無法即時更新修補的設備,Fortinet 建議暫時 關閉 HTTP/HTTPS 管理介面,以降低攻擊面。
關聯背景資訊
在此事件發生之前,Fortinet 曾於上月被 Shadowserver Foundation 發現,已有 超過 16,000 台暴露於網際網路的 Fortinet 設備 遭到入侵,且設置了一種新型的 symlink 後門,雖已修補但仍允許威脅者存取敏感檔案。
此外,Fortinet 亦在今年 4 月初通報另一個與 FortiSwitch 相關的重大漏洞,顯示威脅者正持續鎖定 Fortinet 各類產品作為入侵企業網路的跳板。
資安專家建議行動項目:
- 立即修補漏洞:優先升級受影響產品至安全版本。
- 封鎖惡意 IP:將上述攻擊來源納入防火牆黑名單。
- 檢查入侵跡象:確認是否啟用了 fcgi debugging,並檢視系統帳號登入紀錄與可疑排程任務。
- 強化防護策略:落實多因素驗證(MFA)、限制管理介面存取來源 IP、強化日誌監控與異常行為偵測。
- 進行網路流量分析:觀察是否有與已知惡意 IP 通聯的異常連線。
此事件再次警示企業應強化資安態勢感知與設備防護措施,尤其針對邊界設備與管理介面之防禦應更為嚴謹。建議企業導入持續威脅偵測(EDR/NDR)、漏洞管理平台(VMS)與資安事件應變流程,以提升整體防護韌性。