Fortinet baru saja merilis pembaruan keamanan penting untuk menutup celah kritis yang telah dieksploitasi dalam serangan terhadap sistem telepon enterprise FortiVoice. Kerentanan ini terdaftar sebagai CVE-2025-32756 dan diberi skor CVSS 9.6 dari 10, menunjukkan tingkat risiko yang sangat tinggi.
Menurut peringatan resmi Fortinet, kerentanan tersebut merupakan overflow berbasis stack (CWE-121) yang ditemukan pada beberapa produk mereka, termasuk FortiVoice, FortiMail, FortiNDR, FortiRecorder, dan FortiCamera. Celah ini memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi kode atau perintah berbahaya dari jarak jauh hanya dengan mengirimkan permintaan HTTP yang telah dimodifikasi.
Bukti Eksploitasi Aktif di Dunia Nyata
Fortinet mengonfirmasi bahwa eksploitasi aktif telah terdeteksi pada sistem FortiVoice. Meski demikian, perusahaan belum merinci skala serangan atau siapa aktor ancaman di baliknya. Mereka menyebut bahwa pelaku sempat melakukan pemindaian jaringan, menghapus log sistem, serta mengaktifkan debugging fcgi untuk mencatat kredensial login dari sistem atau akses SSH.
Daftar Produk dan Versi yang Terdampak
Berikut adalah daftar produk terdampak dan versi yang direkomendasikan untuk diperbarui:
FortiCamera- Versi 1.1, 2.0 → Migrasi ke rilis yang telah diperbaiki
- Versi 2.1.x → Upgrade ke 2.1.4 atau lebih tinggi
- Versi 1.1, 2.0 → Migrasi ke rilis yang telah diperbaiki
- FortiMail
- 7.0.x → Upgrade ke 7.0.9+
- 7.2.x → Upgrade ke 7.2.8+
- 7.4.x → Upgrade ke 7.4.5+
- 7.6.x → Upgrade ke 7.6.3+
- 7.0.x → Upgrade ke 7.0.9+
- FortiNDR
- 1.1 – 1.5, 7.1 → Migrasi ke versi yang telah diperbaiki
- 7.0.x → Upgrade ke 7.0.7+
- 7.2.x → Upgrade ke 7.2.5+
- 7.4.x → Upgrade ke 7.4.8+
- 7.6.x → Upgrade ke 7.6.1+
- 1.1 – 1.5, 7.1 → Migrasi ke versi yang telah diperbaiki
- FortiRecorder
- 6.4.x → Upgrade ke 6.4.6+
- 7.0.x → Upgrade ke 7.0.6+
- 7.2.x → Upgrade ke 7.2.4+
- 6.4.x → Upgrade ke 6.4.6+
- FortiVoice
- 6.4.x → Upgrade ke 6.4.11+
- 7.0.x → Upgrade ke 7.0.7+
- 7.2.x → Upgrade ke 7.2.1+
- 6.4.x → Upgrade ke 6.4.11+
IP Address yang Terlibat dalam Aktivitas Berbahaya
Fortinet juga mengungkap bahwa aktivitas mencurigakan berasal dari beberapa alamat IP berikut:
198.105.127.124- 43.228.217.173
- 43.228.217.82
- 156.236.76.90
- 218.187.69.244
- 218.187.69.59
Rekomendasi untuk Pengguna
Fortinet sangat menyarankan agar pengguna segera menginstal pembaruan untuk semua produk yang terdampak. Jika patching langsung tidak memungkinkan, menonaktifkan antarmuka administrasi HTTP/HTTPS dianggap sebagai solusi sementara yang dapat meminimalisir risiko eksploitasi.