Fortinet a déployé des mises à jour pour résoudre une vulnérabilité de sécurité critique affectant sa solution de contrôle d’accès au réseau FortiNAC qui pourrait conduire à l’exécution de code arbitraire.
Suivi comme CVE-2023-33299, la faille est notée 9,6 sur 10 pour la gravité sur le système de notation CVSS. Il a été décrit comme un cas de désérialisation d’objet Java non approuvé.
« Une désérialisation de la vulnérabilité des données non fiables [CWE-502] dans FortiNAC peut permettre à un utilisateur non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes spécialement conçues au service tcp/1050 », a déclaré Fortinet dans un avis publié la semaine dernière.
La lacune affecte les produits suivants, avec des correctifs disponibles dans les versions FortiNAC 7.2.2, 9.1.10, 9.2.8 et 9.4.3 ou ultérieures –
- FortiNAC versions 9.4.0 à 9.4.2
- FortiNAC versions 9.2.0 à 9.2.7
- FortiNAC versions 9.1.0 à 9.1.9
- FortiNAC versions 7.2.0 à 7.2.1
- FortiNAC 8.8 toutes versions
- FortiNAC 8.7 toutes versions
- FortiNAC 8.6 toutes versions
- FortiNAC 8.5 toutes versions, et
- FortiNAC 8.3 toutes versions
Fortinet a également résolu une vulnérabilité de gravité moyenne identifiée comme CVE-2023-33300 (score CVSS : 4,8), un problème de contrôle d’accès incorrect affectant FortiNAC 9.4.0 à 9.4.3 et FortiNAC 7.2.0 à 7.2.1. Il a été corrigé dans les versions 7.2.2 et 9.4.4 de FortiNAC.
Florian Hauser de la société allemande de cybersécurité CODE WHITE a été crédité d’avoir découvert et signalé les deux bogues.
L’alerte fait suite à l’exploitation active d’une autre vulnérabilité critique affectant FortiOS et FortiProxy (CVE-2023-27997, score CVSS : 9,2) qui pourrait permettre à un attaquant distant d’exécuter du code ou des commandes arbitraires via des requêtes spécialement conçues.
Fortinet, plus tôt ce mois-ci, a reconnu que le problème avait peut-être été abusé dans des attaques limitées ciblant les secteurs du gouvernement, de la fabrication et des infrastructures critiques, ce qui a incité la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis à l’ajouter au catalogue des vulnérabilités exploitées connues (KEV). .
Cela survient également plus de quatre mois après que Fortinet a résolu un bogue grave dans FortiNAC (CVE-2022-39952, score CVSS : 9,8) qui pourrait conduire à l’exécution de code arbitraire. La faille a depuis fait l’objet d’une exploitation active peu de temps après la mise à disposition d’une preuve de concept (PoC).
Dans un développement connexe, Grafana a publié des correctifs pour une vulnérabilité de sécurité critique (CVE-2023-3128) qui pourrait permettre à des attaquants malveillants de contourner l’authentification et de prendre en charge tout compte utilisant Azure Active Directory pour l’authentification.
« En cas d’exploitation, l’attaquant peut obtenir le contrôle total du compte d’un utilisateur, y compris l’accès aux données privées des clients et aux informations sensibles », a déclaré Grafana. « En cas d’exploitation, l’attaquant peut obtenir le contrôle total du compte d’un utilisateur, y compris l’accès aux données privées des clients et aux informations sensibles. »
