Fortinet a d\u00e9ploy\u00e9 des mises \u00e0 jour pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique affectant sa solution de contr\u00f4le d’acc\u00e8s au r\u00e9seau FortiNAC qui pourrait conduire \u00e0 l’ex\u00e9cution de code arbitraire.<\/p>\n
Suivi comme CVE-2023-33299<\/strong>, la faille est not\u00e9e 9,6 sur 10 pour la gravit\u00e9 sur le syst\u00e8me de notation CVSS. Il a \u00e9t\u00e9 d\u00e9crit comme un cas de d\u00e9s\u00e9rialisation d’objet Java non approuv\u00e9.<\/p>\n “UN d\u00e9s\u00e9rialisation<\/a> de la vuln\u00e9rabilit\u00e9 des donn\u00e9es non fiables [CWE-502<\/a>] dans FortiNAC peut permettre \u00e0 un utilisateur non authentifi\u00e9 d’ex\u00e9cuter du code ou des commandes non autoris\u00e9s via des requ\u00eates sp\u00e9cialement con\u00e7ues au service tcp\/1050″, Fortinet a dit<\/a> dans un avis publi\u00e9 la semaine derni\u00e8re.<\/p>\n La lacune affecte les produits suivants, avec des correctifs disponibles dans les versions FortiNAC 7.2.2, 9.1.10, 9.2.8 et 9.4.3 ou ult\u00e9rieures –<\/p>\n Fortinet a \u00e9galement r\u00e9solu une vuln\u00e9rabilit\u00e9 de gravit\u00e9 moyenne identifi\u00e9e comme CVE-2023-33300 (score CVSS\u00a0: 4,8), une probl\u00e8me de contr\u00f4le d’acc\u00e8s inappropri\u00e9<\/a> affectant FortiNAC 9.4.0 \u00e0 9.4.3 et FortiNAC 7.2.0 \u00e0 7.2.1. Il a \u00e9t\u00e9 corrig\u00e9 dans les versions 7.2.2 et 9.4.4 de FortiNAC.<\/p>\n Florian Hauser<\/a> de la soci\u00e9t\u00e9 allemande de cybers\u00e9curit\u00e9 CODE WHITE a \u00e9t\u00e9 cr\u00e9dit\u00e9 d’avoir d\u00e9couvert et signal\u00e9 les deux bogues.<\/p>\n L’alerte fait suite \u00e0 l’exploitation active d’une autre vuln\u00e9rabilit\u00e9 critique affectant FortiOS et FortiProxy (CVE-2023-27997, score CVSS\u00a0: 9,2) qui pourrait permettre \u00e0 un attaquant distant d’ex\u00e9cuter du code ou des commandes arbitraires via des requ\u00eates sp\u00e9cialement con\u00e7ues.<\/p>\n Fortinet, plus t\u00f4t ce mois-ci, a reconnu que le probl\u00e8me avait peut-\u00eatre \u00e9t\u00e9 abus\u00e9 dans des attaques limit\u00e9es ciblant les secteurs du gouvernement, de la fabrication et des infrastructures critiques, ce qui a incit\u00e9 la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis \u00e0 l’ajouter au catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV). .<\/p>\n Cela survient \u00e9galement plus de quatre mois apr\u00e8s que Fortinet a r\u00e9solu un bogue grave dans FortiNAC (CVE-2022-39952, score CVSS\u00a0: 9,8) qui pourrait conduire \u00e0 l’ex\u00e9cution de code arbitraire. La faille a depuis fait l’objet d’une exploitation active peu de temps apr\u00e8s la mise \u00e0 disposition d’une preuve de concept (PoC).<\/p>\n Dans un d\u00e9veloppement connexe, Grafana a publi\u00e9 des correctifs pour une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique (CVE-2023-3128) qui pourrait permettre \u00e0 des attaquants malveillants de contourner l’authentification et de prendre en charge tout compte utilisant Azure Active Directory pour l’authentification.<\/p>\n “En cas d’exploitation, l’attaquant peut prendre le contr\u00f4le total du compte d’un utilisateur, y compris l’acc\u00e8s aux donn\u00e9es priv\u00e9es des clients et aux informations sensibles”, a d\u00e9clar\u00e9 Grafana. a dit<\/a>. “En cas d’exploitation, l’attaquant peut obtenir le contr\u00f4le total du compte d’un utilisateur, y compris l’acc\u00e8s aux donn\u00e9es priv\u00e9es des clients et aux informations sensibles.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Les-cybercriminels-bresiliens-utilisent-les-scripts-LOLBaS-et-CMD-pour.png\")
<\/a><\/center><\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Des-hackers-chinois-utilisent-des-tactiques-inedites-pour-attaquer-des.png\")
<\/a><\/center><\/div>\n