-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta 28-06-2023-Vulnerabilidade de desserialização de dados não confiáveis no Fortinet FortiNAC Prezados(as), O CAIS alerta a comunidade de segurança cibernética para uma vulnerabilidade crítica que afeta várias versões do FortiNAC. O FortiNAC é uma solução fornecida pela Fortinet, que permite o gerenciamento e controle dos ativos e usuários dentro de uma rede. 1) Produto(s) afetado(s); 2) Identificador CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade, versões afetadas e formas de exploração; 4) Mitigação e correções disponíveis; 5) Maiores Informações 1) Produto(s) e versões afetadas afetado(s); Produto: FortiNAC FortiNAC versões inferiores a 7.2.2, 9.1.10, 9.2.8 e 9.4.3 Além de todas as versões FortiNAC 8.x (major version) Conforme comunicado do fornecedor do produto, para a versão 8 não serão disponibilizados pacotes de atualização. Recomenda-se migrar para uma versão mais atual do produto. 2) Identificador CVE (http://cve.mitre.org); CVE-2023-33299 3) Descrição da vulnerabilidade A vulnerabilidade CVE-2023-33299 é uma desserialização de dados não confiáveis no Fortinet FortiNAC com CVSS 9.8. A desserialização, também conhecida como desempacotamento, é o processo de converter dados serializados de volta em um formato adequado para serem manipulados e utilizados em um programa ou sistema. A exploração dessa vulnerabilidade por um agente malicioso pode permitir que um usuário não autenticado execute códigos ou comandos arbitrários por meio de solicitações especificamente criada para a porta de comunicação entre servidores (TCP/1050). 4) Mitigação e correções disponíveis; Não há soluções alternativas (workarounds) conhecidas para esta vulnerabilidade. Recomenda-se executar as atualizações disponibilizadas pelo fornecedor do produto. Mais informações https://nvd.nist.gov/vuln/detail/CVE-2023-33299 https://www.fortiguard.com/psirt/FG-IR-23-074 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJknEpSCRDU96v9U5pXgAAAnW4P/0WVIkneU/ieZxzSeanH wrFw9tesLA84jrsYnprTn9QYBWU+ZFKHpCdR3P9yg2/85bOqdBtY/P8sBKqw c9aHhGHM21AU7rVIk2wNKHbB/nR8aaiDQEIH/PkQ0/HAMjW90tvtqdS96kR9 ptg25jFcfp0mFurC3Is+JxihezB3RTV5yAArcBQaodmucewHu09k8UWGGwde d4YT9XTiskcZpDRRq6ODzcxXmMrL7x9VcNhcJX6vJ/4A+xJjFoHQFhLCe+4v g8kwv+2dxH3gixvqEIsvGLAAmOGFpYTdZLbbE0GUu8ilalw5n/i8h1P4Eo/x gwWuB3ZShZQrayyGPAVGoNagqm6bFnnXpwUBDtAyRROoVru8X5GpU3Og48qA LKQOsQS4Kk0Tepssaq5JHd4OBV1vkRdGWxB4dFcpJgOPb8IkEJHZC8mbd+sc yBVTg/fUv9XboRXCeDKjP9FvYVinYbn5ONeXOMngX+cmnWkI6T68rLivKyKk F6mG7QM2CsXteVKeIjd1FD/k4imGq11C4xFilp2NGdd8jeMjR0G4sjAuKdwP TGFohdPM2VXY81bv1NVJQsA20qbj7aymfTnIdNja7dO1/MASPcHyNUOgwD+a 46itFaSwxRgrPDLq/l/hZ0ZOch2g+MfmcaIqrFnI7YhNYl8y4CaP+rCXzgOA 1aoC =Xf9g -----END PGP SIGNATURE-----