| No. | Title | CVE ID | Severity | Model |
| 1 | TACACS+ 인증 우회 | CVE-2025-22252 | Critical | FortiOS/FortiProxy/ FortiSwtichManager |
| 2 | XPC 서비스의 로컬 권한 상승 | CVE-2025-25251 | High | FortiClientMac |
| 3 | 글로벌 위협 피드의 무단 수정 | CVE-2024-54020 | Low | FortiManager |
| 4 | API의 스택 기반 버퍼 오버플로 취약점 | CVE-2025-32756 | Critical | FortiCamaer/FortiMail/ FortiNDR/FortiRecorder/FortiVoice |
| 5 | 공개적으로 접근 가능한 FCT 설치 디렉토리 인덱스 | CVE-2025-24473 | Medium | FortiClientWindows |
| 6 | Node.JS 환경 변수로 인한 코드 실행 | CVE-2024-35281 | Low | FortiClientMac/ FortiVoiceUCDesktop |
| 7 | 보안 패브릭 루트의 서비스 거부 | CVE-2025-47294 | Medium | FortiOS |
| 8 | 시스템 로그에 민감한 정보 삽입 | CVE-2025-46777 | Low | FortiPortal |
| 9 | 업로드 메시지의 경로 탐색 | CVE-2025-22859 | Medium | FortiClientEMS |
| 10 | FGFM의 버퍼 오버리드 | CVE-2025-47295 | Low | FortiOS |
1. TACACS+ 인증 우회(https://fortiguard.fortinet.com/psirt/FG-IR-24-472)
FortiOS, FortiProxy 및 FortiSwitchManager TACACS+에서 중요 기능에 대한 인증이 누락된 취약점[CWE-306]이 있는데, 인증을 위해 원격 TACACS+ 서버를 사용하도록 구성된 이 서버 자체가 ASCII 인증을 사용하도록 구성된 경우, 기존 관리자 계정을 알고 있는 공격자가 인증 우회를 통해 유효한 관리자로 장치에 액세스할 수 있습니다.
| Version | Affected | Solution |
| FortiOS 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiOS 7.4 | 7.4.4 through 7.4.6 | Upgrade to 7.4.7 or above |
| FortiOS 7.2 | Not affected | Not Applicable |
| FortiOS 7.0 | Not affected | Not Applicable |
| FortiOS 6.4 | Not affected | Not Applicable |
| FortiProxy 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
| FortiProxy 7.4 | Not affected | Not Applicable |
| FortiProxy 7.2 | Not affected | Not Applicable |
| FortiProxy 7.0 | Not affected | Not Applicable |
| FortiProxy 2.0 | Not affected | Not Applicable |
| FortiSwitchManager 7.2 | 7.2.5 | Upgrade to 7.2.6 or above |
| FortiSwitchManager 7.0 | Not affected | Not Applicable |
이 취약점은 ASCII 인증이 사용되는 구성에만 국한됩니다. PAP, MSCHAP 및 CHAP 구성은 영향을 받지 않습니다.
해결 방법
대체 인증 방법을 사용하세요.
config user tacacs+
edit "TACACS-SERVER"
set server <IP address>
set key <string>
set authen-type [pap, mschap, chap]
set source-ip <IP address>
next
end
또는
config user tacacs+
edit "TACACS-SERVER"
set server <IP address>
set key <string>
unset authen-type
set source-ip <IP address>
next
end
기본적으로 ASCII 인증은 사용되지 않습니다.
2. XPC 서비스의 로컬 권한 상승(https://fortiguard.fortinet.com/psirt/FG-IR-25-016)
FortiClient Mac의 잘못된 권한 부여 취약점[CWE-863]으로 인해 로컬 공격자가 조작된 XPC 메시지를 통해 권한을 확대할 수 있습니다.
| Version | Affected | Solution |
| FortiClientMac 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiClientMac 7.2 | 7.2.0 through 7.2.8 | Upgrade to 7.2.9 or above |
| FortiClientMac 7.0 | 7.0 all versions | Migrate to a fixed release |
3. 글로벌 위협 피드의 무단 수정(https://fortiguard.fortinet.com/psirt/FG-IR-24-023)
FortiManager의 권한 부여 누락[CWE-862] 취약점으로 인해 인증된 공격자가 조작된 업데이트 요청을 통해 글로벌 위협 피드를 덮어쓸 수 있습니다.
| Version | Affected | Solution |
| FortiManager 7.6 | Not affected | Not Applicable |
| FortiManager 7.4 | Not affected | Not Applicable |
| FortiManager 7.2 | 7.2.0 through 7.2.1 | Upgrade to 7.2.2 or above |
| FortiManager 7.0 | 7.0.0 through 7.0.7 | Upgrade to 7.0.8 or above |
| FortiManager 6.4 | Not affected | Not Applicable |
4. API의 스택 기반 버퍼 오버플로 취약점(https://fortiguard.fortinet.com/psirt/FG-IR-25-254)
FortiVoice, FortiMail, FortiNDR, FortiRecorder 및 FortiCamera의 스택 기반 오버플로 취약점[CWE-121]으로 인해 원격의 인증되지 않은 공격자가 조작된 HTTP 요청을 통해 임의의 코드나 명령을 실행할 수 있습니다.
Fortinet은 이것이 FortiVoice에서 실제로 악용되는 것을 확인했습니다.
우리가 관찰한 사건에서 위협 행위자가 수행한 작업은 아래의 일부 또는 전부였습니다.
장치 네트워크 스캔
시스템 충돌 로그 지우기
시스템 또는 SSH 로그인 시도의 자격 증명을 기록하려면 fcgi 디버깅을 활성화하세요.
자세한 내용은 아래 IoC를 참조하세요.
| Version | Affected | Solution |
| FortiCamera 2.1 | 2.1.0 through 2.1.3 | Upgrade to 2.1.4 or above |
| FortiCamera 2.0 | 2.0 all versions | Migrate to a fixed release |
| FortiCamera 1.1 | 1.1 all versions | Migrate to a fixed release |
| FortiMail 7.6 | 7.6.0 through 7.6.2 | Upgrade to 7.6.3 or above |
| FortiMail 7.4 | 7.4.0 through 7.4.4 | Upgrade to 7.4.5 or above |
| FortiMail 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
| FortiMail 7.0 | 7.0.0 through 7.0.8 | Upgrade to 7.0.9 or above |
| FortiNDR 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiNDR 7.4 | 7.4.0 through 7.4.7 | Upgrade to 7.4.8 or above |
| FortiNDR 7.2 | 7.2.0 through 7.2.4 | Upgrade to 7.2.5 or above |
| FortiNDR 7.1 | 7.1 all versions | Migrate to a fixed release |
| FortiNDR 7.0 | 7.0.0 through 7.0.6 | Upgrade to 7.0.7 or above |
| FortiNDR 1.5 | 1.5 all versions | Migrate to a fixed release |
| FortiNDR 1.4 | 1.4 all versions | Migrate to a fixed release |
| FortiNDR 1.3 | 1.3 all versions | Migrate to a fixed release |
| FortiNDR 1.2 | 1.2 all versions | Migrate to a fixed release |
| FortiNDR 1.1 | 1.1 all versions | Migrate to a fixed release |
| FortiRecorder 7.2 | 7.2.0 through 7.2.3 | Upgrade to 7.2.4 or above |
| FortiRecorder 7.0 | 7.0.0 through 7.0.5 | Upgrade to 7.0.6 or above |
| FortiRecorder 6.4 | 6.4.0 through 6.4.5 | Upgrade to 6.4.6 or above |
| FortiVoice 7.2 | 7.2.0 | Upgrade to 7.2.1 or above |
| FortiVoice 7.0 | 7.0.0 through 7.0.6 | Upgrade to 7.0.7 or above |
| FortiVoice 6.4 | 6.4.0 through 6.4.10 | Upgrade to 6.4.11 or above |
IoCs
로그
다음 로그 항목은 가능한 IOC입니다.
CLI 명령 'diagnose debug application httpd display trace-log'의 출력:
[xxxx:x:xx 2025] [fcgid:warn] [pid 1829] [client xxxx:x] mod_fcgid: 데이터 읽기 오류, FastCGI 서버가 연결을 닫았습니다.
[xxxx:x:xx 2025] [fcgid:error] [pid 1503] mod_fcgid: 프로세스 /migadmin/www/fcgi/admin.fe(1741) 종료(통신 오류), 예기치 않은 신호 11이 발생했습니다.
IP 주소
위협 행위자(TA)가 다음 IP 주소를 사용하는 것으로 나타났습니다.
198.105.127.124
43.228.217.173
43.228.217.82
156.236.76.90
218.187.69.244
218.187.69.59
수정된 설정
시스템에서 fcgi 디버깅이 활성화되어 있는지 확인하려면 다음 CLI 명령을 사용하세요.
diag debug application fcgi
출력에 "general to-file ENABLED"가 표시되면 시스템에서 fcgi 디버깅이 활성화되어 있다는 의미입니다.
fcgi debug level is 0x80041
general to-file ENABLED
이것은 기본 설정이 아니므로 과거에 활성화하지 않은 경우 잠재적으로 손상의 지표가 될 수 있습니다.
파일
다음 시스템 파일은 TA에 의해 수정되거나 추가되었을 수 있습니다.-
[추가된 파일] /bin/wpad_ac_helper - MD5:4410352e110f82eabc0bf160bec41d21 - 주요 맬웨어 파일
- [추가된 파일] /bin/busybox - MD5:ebce43017d2cb316ea45e08374de7315 및 489821c38f429a21e1ea821f8460e590
- /data/etc/crontab - fcgi.debug에서 중요한 데이터를 grep하기 위한 줄이 추가되었습니다.-
0 */12 * * * root busybox grep -rn passw /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug
/var/spool/cron/crontabs/root - fcgi.debug를 백업하기 위한 줄이 추가되었습니다.-
0 */12 * * * root cat /var/spool/crashlog/fcgi.debug > /var/spool/.sync; cat /dev/null >/var/spool/crashlog/fcgi.debug
[추가된 파일] /var/spool/.sync - 자격 증명은 위의 cron 작업에 의해 이 파일에 수집됩니다
.- /etc/pam.d/sshd - 아래에 악성 libfmlogin.so를 포함하기 위해 줄이 추가되었습니다
. - [추가된 파일] /lib/libfmlogin.so - MD5:364929c45703a84347064e2d5de45bcd - SSH 로그인을 사용하여 사용자 이름과 비밀번호를 기록하는 악성 라이브러리
- [추가된 파일] /tmp/.sshdpm - 위의 /lib/libfmlogin.so에서 수집한 자격 증명이 포함되어 있습니다.
- [추가된 파일] /bin/fmtest - MD5: 2c8834a52faee8d87cff7cd09c4fb946 - 네트워크를 스캔하는 스크립트
- /etc/httpd.conf - socks.so를 포함하기 위해 줄이 추가되었습니다. LoadModule socks5_module modules/mod_socks5.so
해결 방법
HTTP/HTTPS 관리 인터페이스 비활성화
5. 공개적으로 접근 가능한 FCT 설치 디렉토리 인덱스(https://fortiguard.fortinet.com/psirt/FG-IR-24-548)
FortiClientWindows의 무단 제어 영역 취약성[CWE-497]으로 인해 민감한 시스템 정보가 노출되어 Windows가 포트 8053(기본 설정 아님)으로 들어오는 연결을 허용하도록 구성된 경우, 무단 원격 공격자가 호스팅된 웹페이지로의 탐색을 통해 애플리케이션 정보를 볼 수 있습니다.
| Version | Affected | Solution |
| FortiClientWindows 7.4 | Not affected | Not Applicable |
| FortiClientWindows 7.2 | 7.2.0 through 7.2.1 | Upgrade to 7.2.2 or above |
| FortiClientWindows 7.0 | Not affected | Not Applicable |
6. Node.JS 환경 변수로 인한 코드 실행(https://fortiguard.fortinet.com/psirt/FG-IR-24-025)
FortiClient MacOS 및 FortiVoiceUC 데스크톱 애플리케이션의 부적절한 격리 또는 구획화 취약점[CWE-653]으로 인해 인증된 공격자가 Electron 환경 변수를 통해 코드를 삽입할 수 있습니다.
| Version | Affected | Solution |
| FortiClientMac 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiClientMac 7.2 | 7.2.0 through 7.2.8 | Upgrade to 7.2.9 or above |
| FortiClientMac 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiVoiceUCDesktop 7.0 | Not affected | Not Applicable |
| FortiVoiceUCDesktop 3.0 | 3.0 all versions | Migrate to a fixed release |
7. 보안 패브릭 루트의 서비스 거부(https://fortiguard.fortinet.com/psirt/FG-IR-24-388)
FortiOS Security Fabric의 정수 오버플로 또는 래퍼라운드 취약점[CWE-190]으로 인해 원격의 인증되지 않은 공격자가 특수하게 제작된 요청을 통해 csfd 데몬을 충돌시킬 수 있습니다.
| Version | Affected | Solution |
| FortiOS 7.6 | Not affected | Not Applicable |
| FortiOS 7.4 | Not affected | Not Applicable |
| FortiOS 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.14 | Upgrade to 7.0.15 or above |
| FortiOS 6.4 | 6.4 all versions | Migrate to a fixed release |
8. 시스템 로그에 민감한 정보 삽입(https://fortiguard.fortinet.com/psirt/FG-IR-24-380)
FortiPortal의 로그 파일에 민감한 정보를 삽입하는 취약점[CWE-532]으로 인해 읽기 전용 관리자 권한 이상을 가진 인증된 공격자가 FortiPortal 시스템 로그를 통해 암호화된 비밀을 볼 수 있습니다.
| Version | Affected | Solution |
| FortiPortal 7.4 | 7.4.0 | Upgrade to 7.4.2 or above |
| FortiPortal 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiPortal 7.0 | 7.0.0 through 7.0.9 | Upgrade to 7.0.10 or above |
해결 방법
FortiPortal에서 관리하는 각 기기에서 개인 데이터 암호화를 활성화합니다. 각 관리 기기의 CLI에서 다음을 실행합니다.
config system global
set private-data-encryption enable
end
9. 업로드 메시지의 경로 탐색(https://fortiguard.fortinet.com/psirt/FG-IR-24-552)
FortiClientEMS의 상대 경로 탐색 취약점[CWE-23]으로 인해 원격의 인증되지 않은 공격자가 업로드 요청을 통해 시스템에 제한된 임의의 파일 쓰기를 수행할 수 있습니다.
| Version | Affected | Solution |
| FortiClientEMS 7.4 | 7.4.0 through 7.4.1 | Upgrade to 7.4.3 or above |
| FortiClientEMS 7.2 | Not affected | Not Applicable |
| FortiClientEMS 7.0 | Not affected | Not Applicable |
| FortiClientEMS Cloud 7.4 | 7.4.0 through 7.4.1 | Upgrade to 7.4.3 or above |
10. FGFM의 버퍼 오버리드(https://fortiguard.fortinet.com/psirt/FG-IR-24-381)
FortiOS의 버퍼 오버리드 취약점[CWE-126]으로 인해 원격의 인증되지 않은 공격자가 특수하게 조작된 요청을 통해 FGFM 데몬을 충돌시킬 수 있습니다. 이는 공격자가 제어할 수 없는 드문 상황에서 발생합니다.
| Version | Affected | Solution |
| FortiOS 7.6 | Not affected | Not Applicable |
| FortiOS 7.4 | 7.4.0 through 7.4.3 | Upgrade to 7.4.4 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.14 | Upgrade to 7.0.15 or above |
| FortiOS 6.4 | 6.4 all versions | Migrate to a fixed release |