Fortinet разпространи актуализации за отстраняване на критична уязвимост в сигурността, засягаща решението за контрол на мрежовия достъп FortiNAC, която може да доведе до изпълнение на произволен код.

Проследен като CVE-2023-33299, недостатъкът е оценен като 9,6 от 10 по отношение на сериозността в системата за оценяване CVSS. Той е описан като случай на десериализация на ненадеждни обекти в Java.

„Уязвимостта десериализация на ненадеждни данни [CWE-502] във FortiNAC може да позволи на неупълномощен потребител да изпълни неоторизиран код или команди чрез специално създадени заявки към услугата tcp/1050“, заяви Fortinet в консултация, публикувана миналата седмица.

Недостатъкът засяга следните продукти, като кръпките са налични във версиите на FortiNAC 7.2.2, 9.1.10, 9.2.8 и 9.4.3 или по-нови –

  • FortiNAC version 9.4.0 through 9.4.2
  • FortiNAC version 9.2.0 through 9.2.7
  • FortiNAC version 9.1.0 through 9.1.9
  • FortiNAC version 7.2.0 through 7.2.1
  • FortiNAC 8.8 all versions
  • FortiNAC 8.7 all versions
  • FortiNAC 8.6 all versions
  • FortiNAC 8.5 all versions, and
  • FortiNAC 8.3 all versions

 

Също така Fortinet е разрешила уязвимост със средна степен на опасност, проследена като CVE-2023-33300 (CVSS оценка: 4.8), проблем с неправилен контрол на достъпа, засягащ FortiNAC 9.4.0 до 9.4.3 и FortiNAC 7.2.0 до 7.2.1. Проблемът е отстранен във версиите на FortiNAC 7.2.2 и 9.4.4.

Флориан Хаузер от германската фирма за киберсигурност CODE WHITE има заслуга за откриването и съобщаването на двата бъга.

Предупреждението следва активната експлоатация на друга критична уязвимост, засягаща FortiOS и FortiProxy (CVE-2023-27997, CVSS оценка: 9.2), която може да позволи на отдалечен атакуващ да изпълни произволен код или команди чрез специално подготвени заявки.

По-рано този месец Fortinet призна, че проблемът може да е бил използван в ограничени атаки, насочени към правителствени, производствени и критични инфраструктурни сектори, което накара Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) да го добави в каталога на известните експлоатирани уязвимости (KEV).

Това се случва повече от четири месеца след като Fortinet отстрани сериозен бъг във FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до произволно изпълнение на код. Оттогава недостатъкът е подложен на активна експлоатация малко след като беше предоставено доказателство за концепцията (PoC).

Във връзка с това Grafana пусна кръпки за критична уязвимост в сигурността (CVE-2023-3128), която може да позволи на злонамерени атакуващи да заобиколят удостоверяването и да превземат всеки акаунт, който използва Azure Active Directory за удостоверяване.

„Ако бъде използвана, нападателят може да получи пълен контрол над потребителския акаунт, включително достъп до лични данни на клиенти и чувствителна информация“, заяви Grafana. „Ако бъде експлоатиран, нападателят може да получи пълен контрол над акаунта на даден потребител, включително достъп до частни данни на клиенти и чувствителна информация.“

Източник: The Hacker News

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
Бъдете социални
Още по темата
23/01/2025

Cisco поправя критична уязв...

В сряда Cisco обяви кръпки за...
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
15/01/2025

Adobe: Критични дефекти при...

Във вторник производителят на софтуер Adobe...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!