安全热点周报：Fortinet 修复了 FortiVoice 攻击中利用的关键零日漏洞

奇安信 CERT · 公众号 · · 2025-05-19 17:58

正文

请到「今天看啥」查看全文

新增在野利用

1. Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)

5月16日，Google 发布了 Chrome 桌面版关键稳定通道更新，Windows 和 macOS 版本升级至 136.0.7103.113/.114，Linux 版本升级至 136.0.7103.113。此更新将在未来几天和几周内陆续推出，包含四个安全修复程序，其中两个被评为高危漏洞，其中一个已确认被在野利用。

此版本中最重要的修复是 CVE-2025-4664，该漏洞是由于 Google Chrome 加载器组件的策略执行不足造成的，成功利用该漏洞可让远程攻击者通过恶意制作的 HTML 页面泄露跨域数据。该漏洞被归类为高危漏洞。该漏洞最初由安全研究员 @slonser_ 于5月5日通过 X 帖子披露。

该漏洞允许攻击者绕过 Chrome 加载器逻辑中的安全策略，可能导致未经授权的代码执行或沙盒逃逸。现实场景中的可利用性显著增加了修补的紧迫性。查询参数可能包含敏感数据——例如，在 OAuth 流程中，这可能会导致帐户接管。开发人员很少考虑通过来自第三方资源的图像窃取查询参数的可能性。

虽然谷歌没有透露该漏洞是否曾被滥用于攻击或是否仍在被利用，但它在安全公告中警告称，该漏洞已被公开利用，这通常暗示该漏洞正在被积极利用。建议受影响用户尽快更新至 Chrome 136.0.7103.113/.114（Windows/macOS）、Chrome 136.0.7103.113（Linux），可以通过导航到检查版本 chrome://settings/help，这也会触发更新检查并安装任何待处理的更新。

参考链接：

https://www.bleepingcomputer.com/news/security/cisa-tags-recently-patched-chrome-bug-as-actively-exploited-zero-day/

2. SAP NetWeaver Visual Composer Metadata Uploader 反序列化漏洞(CVE-2025-42999)

5月15日，SAP 已发布补丁来解决最近针对 SAP NetWeaver 服务器的零日攻击中利用的第二个漏洞。

该公司于5月12日发布了针对此安全漏洞 CVE-2025-42999 的安全更新，称该漏洞是在调查涉及 SAP NetWeaver Visual Composer 中另一个未经身份验证的文件上传漏洞（追踪为 CVE-2025-31324）的零日攻击时发现的，该漏洞已于4月份修复。

Shadowserver 基金会目前正在追踪超过 204 台暴露在互联网上且易受攻击的 SAP Netweaver 服务器。

虽然 SAP 尚未确认 CVE-2025-42999 是否已被利用，但 Onapsis 首席技术官 Juan Pablo Perez-Etchegoyen 称威胁行为者自1月份以来就一直在利用这两个漏洞进行攻击。Perez-Etchegoyen 说“在2025年3月观察到的攻击实际上滥用了 CVE-2025-31324 以及 CVE-2025-42999。这种组合允许攻击者远程执行任意命令，而无需任何系统权限。这种残留风险本质上是一个反序列化漏洞，只有 SAP 目标系统上具有 VisualComposerUser 角色的用户才能利用。

建议 SAP 管理员立即修补其 NetWeaver 实例，并考虑禁用 Visual Composer 服务，以及限制对元数据上传器服务的访问并监控其服务器上的可疑活动。

参考链接：

https://www.bleepingcomputer.com/news/security/sap-patches-second-zero-day-flaw-exploited-in-recent-attacks/

3. Fortinet 多产品栈缓冲区溢出漏洞(CVE-2025-32756)

5月14日，Fortinet 发布了安全更新，以修补针对 FortiVoice 企业电话系统攻击中被利用为零日漏洞的严重远程代码执行漏洞。

该安全漏洞是一个基于堆栈的溢出漏洞，编号为 CVE-2025-32756，还会影响 FortiMail、FortiNDR、FortiRecorder 和 FortiCamera。正如该公司发布的安全公告中所解释的那样，成功利用该漏洞可以允许远程未经身份验证的攻击者通过恶意制作的 HTTP 请求执行任意代码或命令。

Fortinet 的产品安全团队根据攻击者的活动发现了 CVE-2025-32756，包括网络扫描、删除系统崩溃日志以掩盖其踪迹以及打开“fcgi 调试”以记录系统或 SSH 登录尝试的凭据。威胁行为者从六个 IP 地址发起了攻击，包括 198.105.127[.]124、43.228.217[.]173、43.228.217[.]82、156.236.76[.]90、218.187.69[.]244 和 218.187.69[.]59。Fortinet 在攻击分析过程中发现的入侵指标包括在受感染系统上启用的“fcgi 调试”设置（默认情况下未启用）。要检查此设置是否在您的系统上打开，运行以下命令后您应该看到“general to-file ENABLED” diag debug application fcgi：。

在调查这些攻击时，Fortinet 发现威胁行为者在被黑客入侵的设备上部署恶意软件、添加旨在收集凭证的 cron 作业以及删除脚本以扫描受害者的网络。该公司还为无法立即安装安全更新的客户分享了缓解建议，要求他们禁用易受攻击的设备上 HTTP/HTTPS 管理界面。

上个月，Shadowserver 基金会发现超过 16,000 台暴露在互联网上的 Fortinet 设备因使用新的符号链接后门而遭到入侵，该后门为威胁行为者提供了对先前攻击中被黑客入侵的现已修补的设备上敏感文件的只读访问权限。

建议 FortiVoice、FortiMail、FortiNDR、FortiRecorder 和 FortiCamera 的用户应用必要的修复程序，以保护其设备免受主动攻击。如果无法立即修复，建议禁用 HTTP/HTTPS 管理界面作为临时解决方法。

参考链接：

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-zero-day-exploited-in-fortivoice-attacks/

4. Microsoft DWM 核心库权限提升漏洞(CVE-2025-30400)

5月14日，微软共发布了78个漏洞的补丁程序，修复了Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等产品中的漏洞。

CVE-2025-30400是 Windows 桌面窗口管理器 (DWM) 核心库中的一个 EoP 漏洞。该漏洞的 CVSSv3 评分为 7.8，并被评为“重要”。微软指出，该漏洞已被利用为零日漏洞。成功利用该漏洞，攻击者可以通过利用“释放后使用”漏洞来提升权限。这是今年修复的 DWM 核心库中的第七个 EoP 漏洞。

建议管理员和家庭用户尽快测试和部署微软官方发布的补丁，以避免已知漏洞的攻击。

参考链接：

https://www.tenable.com/blog/microsofts-may-2025-patch-tuesday-addresses-71-cves-cve-2025-32701-cve-2025-32706