Recientemente Fortinet ha liberado actualizaciones que tienen como objetivo arreglar vulnerabilidades en productos de FortiNAC, la falla se describe como deserialización de datos no confiables y has sido rastreada como CVE-2023-33299.
FortiNAC es un recurso de control de accesos de red o NAC, por sus siglas en inglés, diseñado por Fortinet con la finalidad de asegurar y controlar el acceso a redes dentro de una compañía a través del reforzamiento de las políticas de seguridad, el monitoreo de dispositivos y la gestión de los accesos privilegiados a esta.
La función de FortiNAC dentro de una empresa u organización es la de proteger la infraestructura de red, mediante la provisión de visibilidad y control sobre los dispositivos que se conectan a la red como en el caso de laptos, smarthphones, dispositivos de internet de las cosas (IoT), entre muchos otros puntos finales.
FortiNAC permite a un administrador de red el definir y reforzar todas las políticas de seguridad, así como autenticar y autorizar los dispositivos dentro de esta, así como el monitoreo de toda actividad que se lleve a cabo dentro de la red.
La vulnerabilidad en cuestión es CVE-2023-33299 la cual se trata de una vulnerabilidad de deserialización de datos no confiables [CWE-502] en dispositivos FortiNAC. Dicha vulnerabilidad permitiría a un atacante no autenticado, el ejecutar código o comandos no autorizados, mediante una solicitud especialmente diseñada al servicio TCP/1050. Con una criticidad de CVSSv3 9.6/10
Esta vulnerabilidad fue reportada a la compañía por Florian Hauser, trabajadora de CODE WHITE. Esa afecta a los siguientes productos de FortiNAC:
- FortiNAC versión 9.4.0 hasta 9.4.2
- FortiNAC versión 9.2.0 hasta 9.2.7
- FortiNAC versión 9.1.0 hasta 9.1.9
- FortiNAC versión 7.2.0 hasta 7.2.1
- FortiNAC 8.8 todas las versiones
- FortiNAC 8.7 todas las versiones
- FortiNAC 8.6 todas las versiones
- FortiNAC 8.5 todas las versiones
- FortiNAC 8.3 todas las versiones
Para la correcta cobertura de esta vulnerabilidad, la compañía ha liberado las siguientes actualizaciones:
- FortiNAC versión 9.4.3 o superior
- FortiNAC versión 9.2.8 o superior
- FortiNAC versión 9.1.10 o superior
- FortiNAC versión 7.2.2 o superior
Fortinet recomienda actualizar los dispositivos según lo expuesto arriba.
