报告编号:CERT-R-2023-239
报告来源:360CERT
报告作者:360CERT
更新日期:2023-06-26
2023年06月26日,360CERT监测发现Fortinet发布了FortiNAC的风险通告,漏洞编号为CVE-2023-33299,漏洞等级:严重,漏洞评分:9.6。
FortiNAC是Fortinet(飞塔)公司的一种网络访问控制解决方案,可帮助企业获得实时网络可见性、执行安全策略,并检测和缓解威胁。
对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 360CERT评分 | 9.6 |
CVE-2023-33299 任意代码执行漏洞
组件: Fortinet:FortiNAC
漏洞类型: 不可信数据反序列化
实际影响: 任意代码执行
主要影响: 敏感数据窃取
简述: 该漏洞存在于FortiNAC中,是一个反序列化漏洞。未经身份验证的攻击者可以通过向TCP端口1050上运行的服务发送特制请求来利用该漏洞,成功利用该漏洞后,可执行任意命令或代码。
CVE-2023-33299
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| Fortinet:FortiNAC | 9.4.0 - 9.4.2 | >= 9.4.3 |
| Fortinet:FortiNAC | 9.2.0 - 9.2.7 | >= 9.2.8 |
| Fortinet:FortiNAC | 9.1.0 - 9.1.9 | >= 9.1.10 |
| Fortinet:FortiNAC | 7.2.0 - 7.2.1 | >= 7.2.2 |
| Fortinet:FortiNAC | 8.3、8.5、8.6、8.7、8.8 | - |
通用修补建议
根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
2023年06月23日 Fortinet官方发布通告
2023年06月26日 360CERT发布通告
https://fortiguard.fortinet.com/psirt/FG-IR-23-074
原文始发于微信公众号(三六零CERT):CVE-2023-33299:FortiNAC 反序列化漏洞通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论