聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Fortinet 公司更新零信任访问解决方案 FortiNAC，修复可被用于执行代码和命令的严重漏洞CVE-2023-33299。

FortiNAC 可使组织机构管理网络访问策略、获得对设备和用户的可见性并保护网络免受越权访问和威胁。该漏洞的严重性评分是9.6，是一个不可信数据反序列化漏洞，可导致无需认证下的远程代码执行后果。

受该漏洞影响的产品包括：

FortiNAC 9.4.0至9.4.2

FortiNAC 9.2.0至9.2.7

FortiNAC 9.1.0至9.1.9

FortiNAC 7.2.0至7.2.1

FortiNAC 8.8，所有版本

FortiNAC 8.7，所有版本

FortiNAC 8.6，所有版本

FortiNAC 8.5，所有版本

FortiNAC 8.3，所有版本

推荐更新到如下版本：

FortiNAC 9.4.3 或更高版本

FortiNAC 9.2.8 或更高版本

FortiNAC 9.1.10 或更高版本

FortiNAC 7.2.2 或更高版本

Fortinet 并未提供任何缓解措施，因此建议应用可用的安全更新。该漏洞是由 Code White 公司的研究员 Florian Hauser 发现的。

除了该严重的RCE漏洞外，Fortinet 还修复了一个中危漏洞CVE-2023-33300，它是一个访问控制不当漏洞，影响 FortiNAC 9.4.0至9.4.3以及 FortiNAC 7.2.0至 7.2.1版本。该漏洞评分更低的原因在于，具有足够高权限的攻击者可本地利用该漏洞访问复制的数据。

马上更新

鉴于网络上的访问和控制级别，Fortinet 产品一直备受黑客追捧。在过去的几年中，Fortinet 设备成为多个威胁行动者的目标，他们通过 0day 利用和攻击未修复设备而攻陷组织机构。

例如，影响 FortiNAC 的严重RCE漏洞CVE-2022-39952在2月中旬收到修复方案，但黑客在PoC 代码发布的几天后就开始实施利用。1月份，Fortinet 公司提醒称，威胁行动者利用 FortiOS SSL-VPN 中的一个漏洞（CVE-2022-42475）在修复方案发布前攻击政府组织机构。去年10月份，该公司督促客户修复设备中的一个严重认证绕过漏洞，该漏洞编号为CVE-2022-40684，位于 FortiOS、FortiProxy和FortiSwitchManager 中，当时攻击者已开始利用该漏洞。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞

Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞

Fortinet 修复数据分析解决方案中的严重漏洞

Fortinet FortiOS漏洞被用于攻击政府实体

Fortinet：注意这个严重的未认证RCE漏洞！

原文链接

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-fortinac-remote-command-execution-flaw/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~