Fortinet a déployé des mises à jour pour résoudre une vulnérabilité de sécurité critique affectant sa solution de contrôle d’accès au réseau FortiNAC qui pourrait conduire à l’exécution de code arbitraire.
Suivi comme CVE-2023-33299, la faille est notée 9,6 sur 10 pour la gravité sur le système de notation CVSS. Il a été décrit comme un cas de désérialisation d’objet Java non approuvé.
“UN désérialisation de la vulnérabilité des données non fiables [CWE-502] dans FortiNAC peut permettre à un utilisateur non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues au service tcp/1050″, Fortinet a dit dans un avis publié la semaine dernière.
La lacune affecte les produits suivants, avec des correctifs disponibles dans les versions FortiNAC 7.2.2, 9.1.10, 9.2.8 et 9.4.3 ou ultérieures –
- FortiNAC versions 9.4.0 à 9.4.2
- FortiNAC versions 9.2.0 à 9.2.7
- FortiNAC versions 9.1.0 à 9.1.9
- FortiNAC versions 7.2.0 à 7.2.1
- FortiNAC 8.8 toutes versions
- FortiNAC 8.7 toutes versions
- FortiNAC 8.6 toutes versions
- FortiNAC 8.5 toutes versions, et
- FortiNAC 8.3 toutes versions
Fortinet a également résolu une vulnérabilité de gravité moyenne identifiée comme CVE-2023-33300 (score CVSS : 4,8), une problème de contrôle d’accès inapproprié affectant FortiNAC 9.4.0 à 9.4.3 et FortiNAC 7.2.0 à 7.2.1. Il a été corrigé dans les versions 7.2.2 et 9.4.4 de FortiNAC.
Florian Hauser de la société allemande de cybersécurité CODE WHITE a été crédité d’avoir découvert et signalé les deux bogues.
L’alerte fait suite à l’exploitation active d’une autre vulnérabilité critique affectant FortiOS et FortiProxy (CVE-2023-27997, score CVSS : 9,2) qui pourrait permettre à un attaquant distant d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.
Fortinet, plus tôt ce mois-ci, a reconnu que le problème avait peut-être été abusé dans des attaques limitées ciblant les secteurs du gouvernement, de la fabrication et des infrastructures critiques, ce qui a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à l’ajouter au catalogue des vulnérabilités exploitées connues (KEV). .
Cela survient également plus de quatre mois après que Fortinet a résolu un bogue grave dans FortiNAC (CVE-2022-39952, score CVSS : 9,8) qui pourrait conduire à l’exécution de code arbitraire. La faille a depuis fait l’objet d’une exploitation active peu de temps après la mise à disposition d’une preuve de concept (PoC).
Dans un développement connexe, Grafana a publié des correctifs pour une vulnérabilité de sécurité critique (CVE-2023-3128) qui pourrait permettre à des attaquants malveillants de contourner l’authentification et de prendre en charge tout compte utilisant Azure Active Directory pour l’authentification.
“En cas d’exploitation, l’attaquant peut prendre le contrôle total du compte d’un utilisateur, y compris l’accès aux données privées des clients et aux informations sensibles”, a déclaré Grafana. a dit. “En cas d’exploitation, l’attaquant peut obtenir le contrôle total du compte d’un utilisateur, y compris l’accès aux données privées des clients et aux informations sensibles.”