Zero-Day Sicherheitslücke CVE-2025-32756 in Fortinet FortiVoice

von | Mai 14, 2025 | Blog, Cybersecurity | 0 Kommentare

IT-Sicherheit für Unternehmen

Fortinet hat kürzlich eine kritische Sicherheitslücke CVE-2025-32756 in seinen Enterprise-Phone-Systemen FortiVoice sowie weiteren Produkten geschlossen. Diese kritische Schwachstelle, die als CVE-2025-32756 registriert ist, wurde als Zero-Day-Exploit aktiv genutzt – ein Zustand, der Unternehmen dringend zum schnellen Handeln verpflichtet. Im Folgenden erfahren Sie alles Wissenswerte zur Sicherheitslücke CVE-2025-32756, den betroffenen Produkten und wie Sie Ihre IT-Infrastruktur wirkungsvoll schützen können.

Was steckt hinter der Sicherheitslücke CVE-2025-32756?

Die als CVE-2025-32756 bezeichnete Sicherheitslücke ist eine sogenannte stack-basierte Overflow-Schwachstelle (CWE-121), die es einem entfernten, nicht authentifizierten Angreifer ermöglicht, durch speziell präparierte HTTP-Requests beliebigen Code oder Befehle auf betroffenen Systemen auszuführen. Der Schweregrad der Lücke wird mit einem CVSS-Wert von 9,6 (von maximal 10) bewertet, was auf eine sehr hohe Kritikalität hinweist.

Dieses Problem betrifft explizit folgende Fortinet-Produkte:

  • FortiVoice
  • FortiMail
  • FortiNDR
  • FortiRecorder
  • FortiCamera

Angriffsmuster und Auswirkungen

Die Gefahr dieser Sicherheitslücke liegt vor allem in der Möglichkeit, dass Angreifer unbemerkt Schadcode einschleusen, Systeme fernsteuern und sensible Daten kompromittieren können. Fortinet berichtet, dass die Schwachstelle bereits aktiv auf FortiVoice-Systemen ausgenutzt wird. Zwar wurden keine genauen Angaben zur Größe der Angriffe oder den verantwortlichen Akteuren gemacht, doch zeigen erste Analysen ein gezieltes Vorgehen.

Die Angreifer führten im Zuge der Attacken unter anderem folgende Aktionen durch:

  • Durchführung von Netzwerkscans innerhalb der Geräteumgebung
  • Löschen von System-Absturzprotokollen, um Spuren zu verwischen
  • Aktivierung von FastCGI-Debug-Logs, um Anmeldeinformationen oder SSH-Login-Versuche mitzuschneiden

Diese Aktivitäten deuten auf einen umfassenden Einbruch und Versuch zur dauerhaften Systemkontrolle hin.

Welche Produkte sind betroffen und wie wird man sie sicher?

Die Sicherheitslücke erstreckt sich über verschiedene Fortinet-Produkte und deren Versionen. Im Einzelnen empfehlen sich folgende Aktionen:

  • FortiCamera: Versionsstände 1.1, 2.0 – Migration auf behebbare Releases empfohlen
  • FortiCamera Version 2.1.x: Upgrade auf Version 2.1.4 oder höher
  • FortiMail: Versionen 7.0.x bis 7.6.x – Updates auf mindestens 7.0.9, 7.2.8, 7.4.5 bzw. 7.6.3
  • FortiNDR: Diverse Versionen von 1.1 bis 7.6.x – Migration bzw. Upgrade auf festgesetzte Releases wie 7.0.7 oder höher
  • FortiRecorder: Versionen 6.4.x bis 7.2.x – Updates auf Versionen 6.4.6, 7.0.6, 7.2.4 oder höher empfohlen
  • FortiVoice: Versionen 6.4.x bis 7.2.x – Update auf mindestens 6.4.11, 7.0.7 oder 7.2.1

Eine vollständige Liste der empfohlenen Versionen ist essenziell, um den Schutzumfang sicherzustellen.

Workaround: Administrativen HTTP/HTTPS-Zugang deaktivieren

Falls ein direktes Einspielen der Sicherheitsupdates aktuell nicht möglich ist, rät Fortinet dazu, die HTTP/HTTPS-Verwaltungsschnittstellen temporär zu deaktivieren. Denn über genau diese Schnittstellen erfolgen die Angriffe über manipulierte HTTP-Anfragen. Durch das Abschalten der Verwaltungszugänge wird ein sofortiger, wenn auch temporärer Schutz geboten.

Technische Hintergründe der Schwachstelle

Stack-basierte Überlauf-Schwachstellen (Stack Buffer Overflow) gehören zu den bekanntesten Angriffsvektoren in der IT-Sicherheit. Dabei wird ein sogenannter Puffer im Arbeitsspeicher mit mehr Daten gefüllt als vorgesehen, wodurch angrenzender Speicher überschrieben wird. Dies führt häufig dazu, dass Angreifer den Programmfluss manipulieren und eigenen Schadcode ausführen können.

In diesem Fall ermöglicht der Fehler in der Art und Weise, wie HTTP-Requests verarbeitet werden, einem entfernten Angreifer, Code einzuschleusen und auszuführen – und dies ohne vorherige Authentifizierung. Gerade bei unternehmenswichtigen Produkten wie FortiVoice, die für die Telefonie-Infrastruktur eingesetzt werden, sind solche Schwachstellen besonders kritisch, da sie nicht nur die IT-Sicherheit gefährden, sondern auch betriebliche Kommunikationsstrukturen lahmlegen können.

Identifizierte Angreifer-IP-Adressen

Fortinet gelang es, die IP-Adressen zu identifizieren, von denen die Angriffe stattfanden:

  • 198.105.127.124
  • 43.228.217.173
  • 43.228.217.82
  • 156.236.76.90
  • 218.187.69.244
  • 218.187.69.59

Diese Informationen sind wichtig, um eigene Netzwerke auf verdächtige Zugriffe aus diesen Quellen zu untersuchen und eigene Firewall-Regeln anzupassen.

Bedeutung für Unternehmen und Managed Service Provider

Für Unternehmen, die Fortinet-Produkte einsetzen, ist es von höchster Priorität, schnellstmöglich auf die empfohlenen Versionen upzudaten. Angesichts der bereits stattfindenden Angriffe könnte ein zu spätes Handeln zu einem schwerwiegenden Sicherheitsvorfall führen, der Datenverlust, Ausfallzeiten und Reputationsschäden nach sich zieht.

Tipps für Unternehmen und IT-Verantwortliche:

  • Regelmäßiges Patch-Management: Halten Sie Ihre Sicherheitssysteme ständig aktuell. Planen Sie dringend erforderliche Updates mit höchster Priorität ein.
  • Monitoring: Überwachen Sie Zugriffe und Protokolle auf Auffälligkeiten, z.B. ungewöhnliche Netzwerk-Scans oder versuchte administrative Anmeldungen.
  • Sicherung: Sorgen Sie für aktuelle Backups und definierte Wiederherstellungsprozesse im Falle einer Kompromittierung.
  • Zugriffsmanagement: Beschränken Sie die Zugriffe auf die Verwaltungsoberflächen auf vertrauenswürdige Netzwerke oder IP-Adressen und erwägen Sie zusätzlich den Einsatz von VPNs.
  • Zusammenarbeit mit Managed Service Providern: Falls Sie einen MSP nutzen, informieren Sie diesen zeitnah, um gemeinsam umgehende Schutzmaßnahmen umzusetzen.

Fazit

Die von Fortinet geschlossene Zero-Day Sicherheitslücke CVE-2025-32756 stellt eine gravierende Bedrohung für die IT- und Telefoninfrastruktur von Unternehmen dar. Durch die Ausnutzung einer stack-basierten Überlauf-Schwachstelle können Angreifer ungehindert Schadcode einbringen und Kontrolle über die betroffenen Systeme übernehmen. Da die Lücke bereits aktiv genutzt wird, ist ein zügiges Update auf die empfohlenen Produktversionen unverzichtbar. Falls sofortige Updates nicht möglich sind, sollte die administrative HTTP/HTTPS-Schnittstelle deaktiviert werden, um das Risiko zu minimieren.

Unternehmen sollten die vorliegenden Informationen dringend ernst nehmen und ihre Fortinet-Produkte überprüfen und absichern. Nur so lässt sich eine potenziell katastrophale Sicherheitsverletzung verhindern und der effiziente Betrieb der Kommunikationssysteme gewährleisten.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert