Nouvelle vulnérabilité du FortiNAC de Fortinet exposant les réseaux à des attaques par exécution de code

Répertoriée sous le nom de CVE-2023-33299, la faille est évaluée à 9,6 sur 10 en termes de gravité par le système de notation CVSS. Elle a été décrite comme un cas de « désérialisation d’objet Java non fiable ».

« Une vulnérabilité de désérialisation de données non fiables [CWE-502] dans FortiNAC peut permettre à un utilisateur non authentifié d’exécuter du code ou des commandes non autorisés via des requêtes spécifiquement conçues pour le service tcp/1050″, a déclaré Fortinet dans un avis publié la semaine dernière.

Ce problème concerne les produits suivants, avec des correctifs disponibles dans les versions 7.2.2, 9.1.10, 9.2.8, et 9.4.3 ou ultérieures de FortiNAC : – les versions 7.2.2, 9.1.10, 9.2.8, et 9.4.3.

Fortinet a également résolu une vulnérabilité de gravité moyenne répertoriée comme CVE-2023-33300 (CVSS score : 4.8), un problème de contrôle d’accès inapproprié affectant FortiNAC 9.4.0 à 9.4.3 et FortiNAC 7.2.0 à 7.2.1. Ce problème a été corrigé dans les versions 7.2.2 et 9.4.4 de FortiNAC.

Au début du mois, Fortinet a reconnu que ce problème pouvait avoir été exploité dans le cadre d’attaques limitées visant le gouvernement, l’industrie manufacturière et les infrastructures critiques, ce qui a incité l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à l’ajouter au catalogue des vulnérabilités connues et exploitées (KEV).

Elle intervient également plus de quatre mois après que Fortinet a corrigé un grave bogue dans FortiNAC (CVE-2022-39952, CVSS score : 9.8) qui pouvait conduire à l’exécution d’un code arbitraire. La faille a depuis fait l’objet d’une exploitation active peu après la mise à disposition d’une preuve de concept (PoC).