Mientras lees esto, tu sistema Fortinet podría estar ya comprometido con una simple petición HTTP

Especialistas han publicado un análisis detallado de la vulnerabilidad crítica de día cero CVE-2025-32756, que afecta a varios productos de Fortinet. La falla está siendo activamente explotada por actores maliciosos en ataques reales y representa una amenaza para los sistemas corporativos.

La vulnerabilidad CVE-2025-32756 (con una puntuación CVSS de 9.8) está relacionada con un desbordamiento de búfer en la pila (stack-based buffer overflow) presente en la API administrativa. Permite a atacantes remotos no autenticados ejecutar código arbitrario mediante peticiones HTTP especialmente diseñadas. Se ven afectadas varias líneas clave de Fortinet: FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera — en múltiples versiones.

El análisis técnico de Horizon3 reveló que el error reside en la función cookieval_unwrap() de la biblioteca libhttputil.so, que valida incorrectamente los límites al procesar el valor APSCOOKIE. En las versiones vulnerables, esto permite un desbordamiento de un búfer de 16 bytes y la sobrescritura de valores críticos de la pila, incluido el retorno de llamada. Los parches ya aplican límites al tamaño del valor AuthHash para evitar esta situación.

Fortinet confirmó que la vulnerabilidad está siendo activamente explotada, especialmente en sistemas FortiVoice. Según el equipo de Seguridad de Producto, los atacantes realizaron escaneos de red, extrajeron credenciales y manipularon registros. Se detectó la eliminación de logs de fallos, activación del debug FCGI para interceptar intentos de autenticación (incluido SSH), instalación de malware y configuración de tareas cron para el robo persistente de credenciales.

La CVE-2025-32756 fue incluida en el catálogo de vulnerabilidades explotadas activamente (KEV) el 14 de mayo de 2025 — solo un día después del primer aviso de Fortinet. CISA ha ordenado a todas las agencias federales corregir la vulnerabilidad antes del 4 de junio, lo que subraya la urgencia del problema.

Esta inclusión rápida en el KEV indica la magnitud de la amenaza y su posible impacto en infraestructuras empresariales que dependen de las soluciones Fortinet. La situación se agrava porque existe un PoC técnico detallado y la explotación no requiere alta especialización, lo que incrementa el riesgo de ataques masivos en el corto plazo.

Fortinet recomienda encarecidamente actualizar urgentemente todos los productos afectados. Para quienes no puedan hacerlo de inmediato, una solución temporal es desactivar la interfaz administrativa HTTP/HTTPS. Para FortiVoice se sugieren las versiones 7.2.1, 7.0.7 o 6.4.11, y para FortiMail — 7.6.3, 7.4.5, 7.2.8 o 7.0.9.