Нова уязвимост на FortiNAC на Fortinet

Fortinet разпространи актуализации за отстраняване на критична уязвимост в сигурността, засягаща решението за контрол на мрежовия достъп FortiNAC, която може да доведе до изпълнение на произволен код.

Проследен като CVE-2023-33299, недостатъкът е оценен като 9,6 от 10 по отношение на сериозността в системата за оценяване CVSS. Той е описан като случай на десериализация на ненадеждни обекти в Java.

„Уязвимостта десериализация на ненадеждни данни [CWE-502] във FortiNAC може да позволи на неупълномощен потребител да изпълни неоторизиран код или команди чрез специално създадени заявки към услугата tcp/1050“, заяви Fortinet в консултация, публикувана миналата седмица.

Недостатъкът засяга следните продукти, като кръпките са налични във версиите на FortiNAC 7.2.2, 9.1.10, 9.2.8 и 9.4.3 или по-нови –

FortiNAC version 9.4.0 through 9.4.2
FortiNAC version 9.2.0 through 9.2.7
FortiNAC version 9.1.0 through 9.1.9
FortiNAC version 7.2.0 through 7.2.1
FortiNAC 8.8 all versions
FortiNAC 8.7 all versions
FortiNAC 8.6 all versions
FortiNAC 8.5 all versions, and
FortiNAC 8.3 all versions

Също така Fortinet е разрешила уязвимост със средна степен на опасност, проследена като CVE-2023-33300 (CVSS оценка: 4.8), проблем с неправилен контрол на достъпа, засягащ FortiNAC 9.4.0 до 9.4.3 и FortiNAC 7.2.0 до 7.2.1. Проблемът е отстранен във версиите на FortiNAC 7.2.2 и 9.4.4.

Флориан Хаузер от германската фирма за киберсигурност CODE WHITE има заслуга за откриването и съобщаването на двата бъга.

Предупреждението следва активната експлоатация на друга критична уязвимост, засягаща FortiOS и FortiProxy (CVE-2023-27997, CVSS оценка: 9.2), която може да позволи на отдалечен атакуващ да изпълни произволен код или команди чрез специално подготвени заявки.

По-рано този месец Fortinet призна, че проблемът може да е бил използван в ограничени атаки, насочени към правителствени, производствени и критични инфраструктурни сектори, което накара Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) да го добави в каталога на известните експлоатирани уязвимости (KEV).

Това се случва повече от четири месеца след като Fortinet отстрани сериозен бъг във FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до произволно изпълнение на код. Оттогава недостатъкът е подложен на активна експлоатация малко след като беше предоставено доказателство за концепцията (PoC).

Във връзка с това Grafana пусна кръпки за критична уязвимост в сигурността (CVE-2023-3128), която може да позволи на злонамерени атакуващи да заобиколят удостоверяването и да превземат всеки акаунт, който използва Azure Active Directory за удостоверяване.

„Ако бъде използвана, нападателят може да получи пълен контрол над потребителския акаунт, включително достъп до лични данни на клиенти и чувствителна информация“, заяви Grafana. „Ако бъде експлоатиран, нападателят може да получи пълен контрол над акаунта на даден потребител, включително достъп до частни данни на клиенти и чувствителна информация.“

#бъгове

The Hacker News

Подобни

ИИ агент започна самостоятелно криптомайнинг по време на обучение

10.03.2026

Критична уязвимост в NGINX UI позволява пълен достъп до сървъри

10.03.2026

online-security-protection-dark-background-3d-illustration (1)

Масови течове на частни ключове за TLS застрашават големи компании и правителства

9.03.2026

Критична уязвимост в WordPress плъгина User Registration & Membership

6.03.2026

Google: 90 Zero-Day уязвимости експлоатирани активно през 2025 г.

6.03.2026

Активни атаки срещу Cisco Catalyst SD-WAN

6.03.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"