Kriittinen haavoittuvuus FortiNAC -tuotteessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus FortiNAC -tuotteessa

26. kesäkuuta 2023 klo 9.59, päivitetty 27. kesäkuuta 2023 klo 7.02

Fortinetin on julkaissut FortiNAC -tuotteeseen päivityksen, jotka korjaavat kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja tai koodia tcp/1050 palveluun erityisesti muodostetun pyynnön kautta. Fortinet suosittelee päivittämään haavoittuvat tuotteet pikaisesti.

CVE-2023-33299 deserialisointi-haavoittuvuus (CWE-502) [1] antaa tunnistamattomalle käyttäjälle mahdollisuuden suorittaa luvatonta koodia tai komentoja tcp/1050-palveluun kohdistettujen, erityisesti muotoiltujen pyyntöjen avulla. 

Haavoittuvuuden kohde

FortiNAC-versiot 9.4.0 - 9.4.2
FortiNAC versiot 9.2.0 - 9.2.7
FortiNAC-versiot 9.1.0 - 9.1.9
FortiNAC-versiot 7.2.0 - 7.2.1
FortiNAC 8.8, kaikki versiot
FortiNAC 8.7, kaikki versiot
FortiNAC 8.6, kaikki versiot
FortiNAC 8.5, kaikki versiot
FortiNAC 8.3, kaikki versiot

Mistä on kysymys?

FortiNAC 9.4.3 tai tätä uudempaan
FortiNAC 9.2.8 tai tätä uudempaan
FortiNAC 9.1.10 tai tätä uudempaan
FortiNAC 7.2.2 tai tätä uudempaan

Mitä voin tehdä?

https://www.fortiguard.com/psirt/FG-IR-23-074

[1] CWE-502: Deserialization of Untrusted Data

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

27. kesäkuuta 2023 klo 7.02 Haavoittuvuuden kuvausta päivitetty. Lisätty linkki CWE-502 heikkouden kuvaukseen.