Una RCE da 9,6 è stata rilevata su FortiNAC. Installare le patch immediatamente

È stata rilevata una vulnerabilità di tipo “java untrusted object deserialization RCE” sul prodotto di punta di Fortinet, FortiNAC. La vulnerabilità è monitorata con il codice CVE-2023-33299 che è stata valutata con 9,6 di score ed affligge molte versioni del prodotto.

Tale vulnerabilità è stata valutata come molto critica. Questo problema interessa una parte sconosciuta del componente Request Handler che sollecitato con un input anomalo consente lo sfruttamento di una vulnerabilità di deserializzazione. 

I prodotti affetti da questa vulnerabilità sono:

• FortiNAC version 9.4.0 through 9.4.2
• FortiNAC version 9.2.0 through 9.2.7
• FortiNAC version 9.1.0 through 9.1.9
• FortiNAC version 7.2.0 through 7.2.1
• FortiNAC 8.8 all versions
• FortiNAC 8.7 all versions
• FortiNAC 8.6 all versions
• FortiNAC 8.5 all versions
• FortiNAC 8.3 all versions

Tale CVE è connessa al CWE-502. L’applicazione deserializza i dati non attendibili senza verificare sufficientemente che i dati risultanti siano validi con un impatto su riservatezza, integrità e disponibilità. 

Viene riportato che l’impatto della vulnerabilità è il seguente: “Una deserializzazione dei dati non attendibili in Fortinet FortiNAC consente all’attaccante di eseguire codice o comandi non autorizzati tramite una richiesta appositamente predisposta. Le versioni 8.x di FortiNAC non verranno corrette.”

La vulnerabilità è stata pubblicata in data 23/06/2023 con identificazione FG-IR-23-074. È possibile leggere l’avviso su fortiguard.com. L’identificazione di questa vulnerabilità è CVE-2023-33299 del 22/05/2023. 

L’aggiornamento alla versione 7.2.1, 9.2.8 o 9.4.3 elimina questa vulnerabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research