Fortinet разпространи актуализации за отстраняване на критична уязвимост в сигурността, засягаща решението за контрол на мрежовия достъп FortiNAC, която може да доведе до изпълнение на произволен код.
Проследен като CVE-2023-33299, недостатъкът е оценен като 9,6 от 10 по отношение на сериозността в системата за оценяване CVSS. Той е описан като случай на десериализация на ненадеждни обекти в Java.
„Уязвимостта десериализация на ненадеждни данни [CWE-502] във FortiNAC може да позволи на неупълномощен потребител да изпълни неоторизиран код или команди чрез специално създадени заявки към услугата tcp/1050“, заяви Fortinet в консултация, публикувана миналата седмица.
Недостатъкът засяга следните продукти, като кръпките са налични във версиите на FortiNAC 7.2.2, 9.1.10, 9.2.8 и 9.4.3 или по-нови –
Също така Fortinet е разрешила уязвимост със средна степен на опасност, проследена като CVE-2023-33300 (CVSS оценка: 4.8), проблем с неправилен контрол на достъпа, засягащ FortiNAC 9.4.0 до 9.4.3 и FortiNAC 7.2.0 до 7.2.1. Проблемът е отстранен във версиите на FortiNAC 7.2.2 и 9.4.4.
Флориан Хаузер от германската фирма за киберсигурност CODE WHITE има заслуга за откриването и съобщаването на двата бъга.
Предупреждението следва активната експлоатация на друга критична уязвимост, засягаща FortiOS и FortiProxy (CVE-2023-27997, CVSS оценка: 9.2), която може да позволи на отдалечен атакуващ да изпълни произволен код или команди чрез специално подготвени заявки.
По-рано този месец Fortinet призна, че проблемът може да е бил използван в ограничени атаки, насочени към правителствени, производствени и критични инфраструктурни сектори, което накара Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) да го добави в каталога на известните експлоатирани уязвимости (KEV).
Това се случва повече от четири месеца след като Fortinet отстрани сериозен бъг във FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до произволно изпълнение на код. Оттогава недостатъкът е подложен на активна експлоатация малко след като беше предоставено доказателство за концепцията (PoC).
Във връзка с това Grafana пусна кръпки за критична уязвимост в сигурността (CVE-2023-3128), която може да позволи на злонамерени атакуващи да заобиколят удостоверяването и да превземат всеки акаунт, който използва Azure Active Directory за удостоверяване.
„Ако бъде използвана, нападателят може да получи пълен контрол над потребителския акаунт, включително достъп до лични данни на клиенти и чувствителна информация“, заяви Grafana. „Ако бъде експлоатиран, нападателят може да получи пълен контрол над акаунта на даден потребител, включително достъп до частни данни на клиенти и чувствителна информация.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.