Una RCE da 9,6 è stata rilevata su FortiNAC. Installare le patch immediatamente

È stata rilevata una vulnerabilità di tipo “java untrusted object deserialization RCE” sul prodotto di punta di Fortinet, FortiNAC. La vulnerabilità è monitorata con il codice CVE-2023-33299 che è stata valutata con 9,6 di score ed affligge molte versioni del prodotto.

Tale vulnerabilità è stata valutata come molto critica. Questo problema interessa una parte sconosciuta del componente Request Handler che sollecitato con un input anomalo consente lo sfruttamento di una vulnerabilità di deserializzazione. 

I prodotti affetti da questa vulnerabilità sono:

• FortiNAC version 9.4.0 through 9.4.2
• FortiNAC version 9.2.0 through 9.2.7
• FortiNAC version 9.1.0 through 9.1.9
• FortiNAC version 7.2.0 through 7.2.1
• FortiNAC 8.8 all versions
• FortiNAC 8.7 all versions
• FortiNAC 8.6 all versions
• FortiNAC 8.5 all versions
• FortiNAC 8.3 all versions

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tale CVE è connessa al CWE-502. L’applicazione deserializza i dati non attendibili senza verificare sufficientemente che i dati risultanti siano validi con un impatto su riservatezza, integrità e disponibilità. 

Viene riportato che l’impatto della vulnerabilità è il seguente: “Una deserializzazione dei dati non attendibili in Fortinet FortiNAC consente all’attaccante di eseguire codice o comandi non autorizzati tramite una richiesta appositamente predisposta. Le versioni 8.x di FortiNAC non verranno corrette.”

La vulnerabilità è stata pubblicata in data 23/06/2023 con identificazione FG-IR-23-074. È possibile leggere l’avviso su fortiguard.com. L’identificazione di questa vulnerabilità è CVE-2023-33299 del 22/05/2023. 

L’aggiornamento alla versione 7.2.1, 9.2.8 o 9.4.3 elimina questa vulnerabilità.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.