Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2023/06/new-fortinets-fortinac-vulnerability.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #nova #vulnerabilidade #fortinac #da #fortinet #expõe #redes #a #ataques #de #execução #de #código
A Fortinet lançou atualizações para resolver uma vulnerabilidade de segurança crítica que afeta sua solução de controle de acesso à rede FortiNAC que pode levar à execução de código arbitrário.
Rastreada como CVE-2023-33299, a falha é avaliada em 9,6 de 10 para gravidade no sistema de pontuação CVSS. Foi descrito como um caso de desserialização de objeto não confiável Java.
“Uma desserialização da vulnerabilidade de dados não confiáveis [CWE-502] no FortiNAC pode permitir que um usuário não autenticado execute códigos ou comandos não autorizados por meio de solicitações especificamente criadas para o serviço tcp/1050”, disse a Fortinet em um comunicado publicado na semana passada.
A falha afeta os seguintes produtos, com patches disponíveis nas versões FortiNAC 7.2.2, 9.1.10, 9.2.8 e 9.4.3 ou posterior -
FortiNAC versão 9.4.0 a 9.4.2
FortiNAC versão 9.2.0 a 9.2.7
FortiNAC versão 9.1.0 a 9.1.9
FortiNAC versão 7.2.0 a 7.2.1
FortiNAC 8.8 todas as versões
FortiNAC 8.7 todas as versões
FortiNAC 8.6 todas as versões
FortiNAC 8.5 todas as versões e
FortiNAC 8.3 todas as versões
Também resolvida pela Fortinet está uma vulnerabilidade de gravidade média rastreada como CVE-2023-33300 (pontuação CVSS: 4,8), um problema de controle de acesso impróprio que afeta o FortiNAC 9.4.0 a 9.4.3 e o FortiNAC 7.2.0 a 7.2.1. Foi corrigido nas versões 7.2.2 e 9.4.4 do FortiNAC.
Florian Hauser, da empresa alemã de segurança cibernética CODE WHITE, foi creditada por descobrir e relatar os dois bugs.
O alerta segue a exploração ativa de outra vulnerabilidade crítica que afeta o FortiOS e o FortiProxy (CVE-2023-27997, pontuação CVSS: 9.2) que pode permitir que um invasor remoto execute códigos ou comandos arbitrários por meio de solicitações especificamente criadas.
A Fortinet, no início deste mês, reconheceu que o problema pode ter sido abusado em ataques limitados direcionados aos setores de governo, manufatura e infraestrutura crítica, levando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicioná-lo ao catálogo de vulnerabilidades exploradas conhecidas (KEV). .
Também ocorre mais de quatro meses depois que a Fortinet corrigiu um bug grave no FortiNAC (CVE-2022-39952, pontuação CVSS: 9,8) que poderia levar à execução arbitrária do código. Desde então, a falha passou a ser explorada ativamente logo após a disponibilização de uma prova de conceito (PoC).
Em um desenvolvimento relacionado, Grafana lançou patches para uma vulnerabilidade de segurança crítica (CVE-2023-3128) que pode permitir que invasores mal-intencionados ignorem a autenticação e assumam qualquer conta que use o Azure Active Directory para autenticação.
“Se explorado, o invasor pode obter controle total da conta de um usuário, incluindo acesso a dados privados de clientes e informações confidenciais”, disse Grafana. “Se explorado, o invasor pode obter controle total da conta de um usuário, incluindo acesso a dados privados de clientes e informações confidenciais”.
Postar um comentário