Fortinet разпространи актуализации за отстраняване на критична уязвимост в сигурността, засягаща решението за контрол на мрежовия достъп FortiNAC, която може да доведе до изпълнение на произволен код.

Проследен като CVE-2023-33299, недостатъкът е оценен като 9,6 от 10 по отношение на сериозността в системата за оценяване CVSS. Той е описан като случай на десериализация на ненадеждни обекти в Java.

„Уязвимостта десериализация на ненадеждни данни [CWE-502] във FortiNAC може да позволи на неупълномощен потребител да изпълни неоторизиран код или команди чрез специално създадени заявки към услугата tcp/1050“, заяви Fortinet в консултация, публикувана миналата седмица.

Недостатъкът засяга следните продукти, като кръпките са налични във версиите на FortiNAC 7.2.2, 9.1.10, 9.2.8 и 9.4.3 или по-нови –

  • FortiNAC version 9.4.0 through 9.4.2
  • FortiNAC version 9.2.0 through 9.2.7
  • FortiNAC version 9.1.0 through 9.1.9
  • FortiNAC version 7.2.0 through 7.2.1
  • FortiNAC 8.8 all versions
  • FortiNAC 8.7 all versions
  • FortiNAC 8.6 all versions
  • FortiNAC 8.5 all versions, and
  • FortiNAC 8.3 all versions

 

Също така Fortinet е разрешила уязвимост със средна степен на опасност, проследена като CVE-2023-33300 (CVSS оценка: 4.8), проблем с неправилен контрол на достъпа, засягащ FortiNAC 9.4.0 до 9.4.3 и FortiNAC 7.2.0 до 7.2.1. Проблемът е отстранен във версиите на FortiNAC 7.2.2 и 9.4.4.

Флориан Хаузер от германската фирма за киберсигурност CODE WHITE има заслуга за откриването и съобщаването на двата бъга.

Предупреждението следва активната експлоатация на друга критична уязвимост, засягаща FortiOS и FortiProxy (CVE-2023-27997, CVSS оценка: 9.2), която може да позволи на отдалечен атакуващ да изпълни произволен код или команди чрез специално подготвени заявки.

По-рано този месец Fortinet призна, че проблемът може да е бил използван в ограничени атаки, насочени към правителствени, производствени и критични инфраструктурни сектори, което накара Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) да го добави в каталога на известните експлоатирани уязвимости (KEV).

Това се случва повече от четири месеца след като Fortinet отстрани сериозен бъг във FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до произволно изпълнение на код. Оттогава недостатъкът е подложен на активна експлоатация малко след като беше предоставено доказателство за концепцията (PoC).

Във връзка с това Grafana пусна кръпки за критична уязвимост в сигурността (CVE-2023-3128), която може да позволи на злонамерени атакуващи да заобиколят удостоверяването и да превземат всеки акаунт, който използва Azure Active Directory за удостоверяване.

„Ако бъде използвана, нападателят може да получи пълен контрол над потребителския акаунт, включително достъп до лични данни на клиенти и чувствителна информация“, заяви Grafana. „Ако бъде експлоатиран, нападателят може да получи пълен контрол над акаунта на даден потребител, включително достъп до частни данни на клиенти и чувствителна информация.“

Източник: The Hacker News

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
Бъдете социални
Още по темата
21/04/2025

Критична уязвимост в Lantro...

Киберсигурността отново е под светлината на...
16/04/2025

Google и Mozilla пуснаха сп...

На 15 април 2025 г. технологичните...
16/04/2025

Oracle пусна 378 нови кръпк...

На 15 април 2025 г. технологичният...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!