Fortinet, FortiNAC ağ erişim kontrolü çözümünü etkileyen ve rastgele kod yürütülmesine yol açabilecek kritik bir güvenlik açığını gidermek için güncellemeler yayınladı.
şu şekilde izlendi: CVE-2023-33299, kusur, CVSS puanlama sisteminde ciddiyet açısından 10 üzerinden 9,6 olarak derecelendirilmiştir. Java güvenilmeyen nesne serisini kaldırma durumu olarak tanımlanmıştır.
“A seri hale getirme güvenilmeyen veri güvenlik açığı [CWE-502] FortiNAC’ta, kimliği doğrulanmamış bir kullanıcının tcp/1050 hizmetine özel olarak hazırlanmış istekler yoluyla yetkisiz kod veya komutları yürütmesine izin verebilir,” Fortinet söz konusu geçen hafta yayınlanan bir danışma belgesinde.
Eksiklik, FortiNAC 7.2.2, 9.1.10, 9.2.8 ve 9.4.3 veya sonraki sürümlerinde bulunan yamalarla birlikte aşağıdaki ürünleri etkiliyor:
- FortiNAC sürüm 9.4.0 ila 9.4.2
- FortiNAC sürüm 9.2.0 ila 9.2.7
- FortiNAC sürüm 9.1.0 ila 9.1.9
- FortiNAC sürüm 7.2.0 ila 7.2.1
- FortiNAC 8.8 tüm sürümler
- FortiNAC 8.7 tüm sürümler
- FortiNAC 8.6 tüm sürümler
- FortiNAC 8.5 tüm sürümleri ve
- FortiNAC 8.3 tüm sürümleri
Ayrıca Fortinet tarafından CVE-2023-33300 (CVSS puanı: 4.8) olarak izlenen orta düzeyde bir güvenlik açığı da çözüldü. uygunsuz erişim kontrolü sorunu FortiNAC 9.4.0 – 9.4.3 ve FortiNAC 7.2.0 – 7.2.1’i etkileyen. FortiNAC 7.2.2 ve 9.4.4 sürümlerinde düzeltildi.
Florian Hauser Alman siber güvenlik firması CODE WHITE, iki hatayı keşfedip bildirdiği için kredilendirildi.
Uyarı, FortiOS ve FortiProxy’yi (CVE-2023-27997, CVSS puanı: 9.2) etkileyen ve uzaktaki bir saldırganın özel olarak hazırlanmış istekler yoluyla rastgele kod veya komutlar yürütmesine izin verebilecek başka bir kritik güvenlik açığının aktif olarak kullanılmasının ardından geldi.
Fortinet, bu ayın başlarında, sorunun hükümet, üretim ve kritik altyapı sektörlerini hedef alan sınırlı saldırılarda kötüye kullanılmış olabileceğini kabul ederek ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi’nin (CISA) konuyu Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı. .
Ayrıca, Fortinet’in FortiNAC’ta rastgele kod yürütülmesine yol açabilecek ciddi bir hatayı (CVE-2022-39952, CVSS puanı: 9.8) ele almasından dört aydan uzun bir süre sonra geldi. Kusur, o zamandan beri bir kavram kanıtı (PoC) kullanıma sunulduktan kısa bir süre sonra aktif olarak sömürüldü.
İlgili bir geliştirmede Grafana, kötü niyetli saldırganların kimlik doğrulamasını atlamasına ve kimlik doğrulama için Azure Active Directory kullanan herhangi bir hesabı ele geçirmesine izin verebilecek kritik bir güvenlik açığı (CVE-2023-3128) için yamalar yayınladı.
Grafana, “Saldırgan kötüye kullanılırsa, özel müşteri verilerine ve hassas bilgilere erişim dahil olmak üzere bir kullanıcının hesabının tam kontrolünü ele geçirebilir.” söz konusu. “Saldırgan kötüye kullanılırsa, özel müşteri verilerine ve hassas bilgilere erişim dahil olmak üzere bir kullanıcının hesabının tam kontrolünü ele geçirebilir.”