■ Contexto:
El 23 de junio del presente año, la empresa de soluciones de ciberseguridad, Fortinet, ha lanzado nuevas actualizaciones de seguridad para su producto FortiNAC, que abordan 2 vulnerabilidades de severidad Medio y Crítico.
Contexto: FortiNAC permite a las organizaciones administrar políticas de acceso a toda la red, obtener visibilidad de dispositivos y usuarios, y proteger la red contra accesos no autorizados y amenazas.
■ Descripción:
🔥 La primera falla de seguridad, ha sido rastreada cómo CVE-2023-33299 y tiene un puntaje CVSS v3 de 9.6/10 (Crítico).
Una deserialización de una vulnerabilidad de datos no confiables [CWE-502] en FortiNAC puede permitir que un usuario no autenticado ejecute códigos o comandos no autorizados a través de solicitudes diseñadas específicamente para el servicio tcp/1050.
🔥 La segunda falla de seguridad, ha sido rastreada cómo CVE-2023-33300 y tiene un puntaje CVSS v3 de 4.8/10 (Medio).
Una neutralización incorrecta de los elementos especiales utilizados en una vulnerabilidad de comando («inyección de comandos») [CWE-77] en el servicio FortiNAC tcp/5555 puede permitir que un atacante no autenticado copie archivos locales del dispositivo a otros directorios locales del dispositivo a través de dispositivos especialmente diseñados. campos de entrada Sin embargo, para acceder a los datos copiados, el atacante debe tener un punto de apoyo ya existente en el dispositivo con suficientes privilegios.
■ Resumen de Vulnerabilidades por Colores:
🟢 = Bajo | 🟡 = Medio | 🔴 = Alto | 🟣 = Crítico | ⚫ = Desconocido
- 🟣 CVE-2023-33299 – CVSS v3 – 9.6/10
- 🟡 CVE-2022-33300 – CVSS v3 – 4.8/10
■ Versiones Vulnerables:
🟣 CVE-2023-33299 – CVSS v3 – 9.6/10
- FortiNAC versión 9.4.0 a 9.4.2
- FortiNAC versión 9.2.0 a 9.2.7
- FortiNAC versión 9.1.0 a 9.1.9
- FortiNAC versión 7.2.0 a 7.2.1
- FortiNAC 8.8 todas las versiones
- FortiNAC 8.7 todas las versiones
- FortiNAC 8.6 todas las versiones
- FortiNAC 8.5 todas las versiones
- FortiNAC 8.3 todas las versiones
🟡 CVE-2022-33300 – CVSS v3 – 4.8/10
- FortiNAC versión 9.4.0 a 9.4.3
- FortiNAC versión 7.2.0 a 7.2.1
■ Recomendación de Seguridad:
Se recomienda a todos los administradores de los departamentos correspondientes en aplicar los parches de seguridad a la brevedad de lo posible. A continuación, se hará mención de las versiones ya parcheadas:
🟣 CVE-2023-33299 – CVSS v3 – 9.6/10
- Actualice a FortiNAC versión 9.4.3 o superior
- Actualice a FortiNAC versión 9.2.8 o superior
- Actualice a FortiNAC versión 9.1.10 o superior
- Actualice a FortiNAC versión 7.2.2 o superior
🟡 CVE-2022-33300 – CVSS v3 – 4.8/10
- Actualice a FortiNAC versión 9.4.4 o superior
- Actualice a FortiNAC versión 7.2.2 o superior
■ Comunicados de Fortinet:
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
