1. 🛡️ Descripción general y contexto

CVE‑2025‑32756 es una vulnerabilidad crítica de desbordamiento de buffer en la pila (Stack‑Based Buffer Overflow, CWE‑121) presente en múltiples productos de Fortinet (FortiVoice, FortiMail, FortiRecorder, FortiNDR, FortiCamera) en versiones específicas sin parchear.
Este fallo permite a un atacante remoto y no autenticado causar la ejecución arbitraria de código mediante el envío de solicitudes HTTP con una cookie especialmente manipulada.
Dada su criticidad (CVSS 3.1: 9.8) y explotación demostrada en el terreno, ha sido incluida en el catálogo de vulnerabilidades explotadas del programa CISA KEV.

2. 💡 Detalles técnicos del funcionamiento

El fallo se encuentra en la función del API administrativo que procesa una cookie HTTP llamada APSCOOKIE, compuesta por campos Era, Payload y AuthHash.
Este último (AuthHash) se decodifica Base64 y se almacena en un buffer fijo de 16 bytes sin validar su longitud, lo que provoca un escritura fuera de rango en la pila.
Específicamente, al no haber límites antes de llamar a EVP_DecodeUpdate(), los datos base64 pueden sobrescribir registros críticos y la dirección de retorno, facilitando la ejecución de código malicioso.

3. 🧠 Vectores de ataque y explotación

Requisitos

• La interfaz HTTP(S) del API administrativo debe estar expuesta.
• No se necesita autenticación: es un ataque remoto y sin credenciales.

Flujo general de explotación

El atacante envía una petición HTTP con una cookie APSCOOKIE mal formada y demasiado grande.

El servidor decodifica AuthHash en un buffer de 16 bytes sin validación.

Como resultado, se sobrescribe la pila, incluyendo registros y la dirección de retorno.

Esto conduce a la ejecución de código arbitrario con privilegios elevados (root/administrador).

Evidencia de explotación

Fortinet ya confirmó ataques en el wild contra dispositivos FortiVoice, con acciones como instalación de malware, recolección de credenciales y movimientos laterales internos.
Se ha liberado una PoC básica que sustituye AuthHash con una cadena base64 excesivamente larga para provocar el desbordamiento.

4. 🔐 Métodos de mitigación y soluciones disponibles

✅ Parches oficiales

Fortinet publicó la actualización del firmware para mitigar el fallo. Algunas versiones fijas incluyen:

• FortiVoice: ≥ 7.2.1, 7.0.7, 6.4.11
• FortiRecorder: ≥ 7.2.4, 7.0.6, 6.4.6
• FortiMail, FortiNDR, FortiCamera: versiones equivalentes parcheadas.

⚠️ Workaround temporal

Deshabilitar la interfaz HTTP/HTTPS administrativa remota hasta aplicar el parche.

🛠️ Buenas prácticas complementarias

• Implementar segmentación de red y controles de acceso para el API administrativo.
• Monitoreo activo de registros HTTP para detectar tráfico sospechoso, especialmente manipulación de cookies.
• Empleo de herramientas EDR/IDS para protegerse contra ejecución de código no autorizado post-explotación.

5. 🧷 Conclusión y reflexión técnica

CVE‑2025‑32756 es un ejemplo clásico de vulnerabilidad antigua—un desbordamiento de buffer—aplicado en un entorno moderno, accesible desde la red y sin autenticación.

🔍 Puntos clave:

• Identificada en la gestión de cookies administrativas (APSCOOKIE).
• Permite ejecución remota sin credenciales, con implicaciones de escalamiento total.
• Ya explotada activamente contra dispositivos FortiVoice desplegados en producción.

🔒 Impacto en seguridad:

• Permite compromiso completo de dispositivos críticos de red.
• Facilita acceso interno, pivoteo, despliegue de malware y robo de credenciales.
• Su explotación demostrada aumenta su nivel de riesgo.

📌 Reflexión técnica:
Incluso fallos aparentemente simples como buffers no controlados pueden devastar sistemas cuando están expuestos en un API administrativo accesible desde internet. La validación estricta de tamaños, el uso de meios seguros y el monitoreo continuo son esenciales para prevenir estos riesgos.