Fortinet remediază o vulnerabilitate critică de tip remote command execution în FortiNAC

Compania Fortinet și-a actualizat soluția de acces zero-trust FortiNAC pentru a remedia o vulnerabilitate critică pe care atacatorii ar putea să o exploateze pentru a executa cod și comenzi.

FortiNAC permite organizațiilor să gestioneze politicile de acces la nivelul întregii rețele, să obțină vizibilitate asupra dispozitivelor și utilizatorilor și să securizeze rețeaua împotriva accesului neautorizat și a amenințărilor.

Vulnerabilitatea este urmărită ca CVE-2023-33299 (scor CVSS 9.6/10) și a fost catalogată cu un grad de severitate critic.

Vulnerabilitatea de tip deserialization of untrusted data poate permite unui atacator neautentificat să execute cod sau comenzi neautorizate prin intermediul unor cereri malițioase pentru serviciul TCP/1050.

Produsele afectate sunt:

• FortiNAC versiunea 9.4.0 până la 9.4.2;
• FortiNAC versiunea 9.2.0 până la 9.2.7;
• FortiNAC versiunea 9.1.0 până la 9.1.9;
• FortiNAC versiunea 7.2.0 până la 7.2.1;
• FortiNAC 8.8, toate versiunile;
• FortiNAC 8.7, toate versiunile;
• FortiNAC 8.6, toate versiunile;
• FortiNAC 8.5, toate versiunile;
• FortiNAC 8.3, toate versiunile.

Se recomandă actualizarea la următoarele versiuni:

• FortiNAC 9.4.3 sau o versiune mai recentă;
• FortiNAC 9.2.8 sau o versiune mai recentă;
• FortiNAC 9.1.10 sau o versiune mai recentă;
• FortiNAC 7.2.2.2 sau o versiune mai recentă.

Compania a anunțat că a mai remediat o vulnerabilitate cu grad de severitate mediu, identificată ca CVE-2023-33300 – improper access control ce afectează FortiNAC 9.4.0 până la 9.4.3 și FortiNAC 7.2.0 până la 7.2.1.

Recomandarea companiei pentru utilizatori este să aplice cât mai repede actualizările de securitate disponibile.

Sursă: https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-fortinac-remote-command-execution-flaw/