CVE-2023-33299: Vulnerabilidad de ejecución remota de código en FortiNAC

El 19 de junio de 2023, Fortiguard publicó la información y actualizaciones para solucionar una vulnerabilidad crítica (CVE-2023-33299) en su software FortiNAC, que puede permitir acceso no autorizado a los sistemas afectados mediante la deserialización de datos no confiables en el servicio de red del puerto 1050/TCP.

FortiNAC se define como una solución de acceso zero-trust que vigila y protege los recursos digitales conectados a la red empresarial. Es posible obtenerlo como una solución hardware o como una máquina virtual. Entre sus casos de uso, esta solución incluye los siguientes:

• Realiza la gestión de inventario, proporcionando visibilidad sobre los recursos conectados a la red, clasificándolos y monitorizándolos.
• Identifica eventos de seguridad y permitir automatizaciones, tales como notificaciones a los administradores o medidas de mitigación.
• Gestiona políticas de seguridad basadas en reglas para implementar segmentación de red.

El servicio afectado, que se ejecuta en el puerto 1050/TCP, usa el protocolo CORBA (Common Object Request Broker Architecture) para acceder a objetos de servidor y para la comunicación entre procesos de los subsistemas FortiNAC y servidores.

La vulnerabilidad abusa del protocolo CORBA inyectando datos serializados de Java no confiables. En el proceso de deserialización, estos datos se procesan y terminan desembocando en la ejecución del código arbitrario del atacante.

Actualmente, no hay evidencias de que este servicio esté siendo explotado públicamente. Aún así, las vulnerabilidades de deserialización de Java no son poco comunes y un atacante con suficiente motivación podría desarrollar un exploit funcional. Por este motivo, es muy importante parchear el software tan pronto como sea posible.

Características principales de la CVE-2023-33299

A continuación, se recogen las características principales de esta vulnerabilidad:

• Identificador CVE: CVE-2023-33299.
• Fecha de publicación: 19/06/2023.
• Software afectado: FortiNAC.
• Versiones afectadas:
  • Versiones 9.4.0 – 9.4.2, 9.2.0 – 9.2.7, 9.1.0 – 9.1.9, 7.2.0 – 7.2.1, todas las 8.3 y las versiones 8.X posteriores a la 8.5.

Mitigación de la CVE-2023-33299

El fabricante ha publicado un comunicado oficial recomendando actualizar el software a cualquier versión soportada:

• 9.4.4 o superior.
• 9.2.8 o superior.
• 9.1.10 o superior.
• 7.2.2 o superior.

Debe apreciarse que no hay ninguna actualización disponible para las versiones 8.X, por lo que se recomienda actualizar cualquier solución ejecutando ese software a una versión soportada.

Detección de la vulnerabilidad

No se han compartido detalles de la explotación de esta vulnerabilidad. Por ello, solamente es posible confiar en el número de versión reportado por la aplicación para comprobar si una instancia es vulnerable.

Como parte del servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza proactivamente el perímetro de sus clientes para informar, detectar y notificar la presencia de esta vulnerabilidad, así como otras amenazas críticas que pudiesen tener un impacto severo en la seguridad.

Referencias:

• https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/95c4341b-200d-11e9-b6f6-f8bc1258b856/FortiNAC_Open_Ports.pdf
• https://www.fortinet.com/products/network-access-control
• https://socradar.io/what-do-you-need-to-know-about-cve-2023-33299-vulnerability-in-fortinac/
• https://www.tenable.com/blog/cve-2023-33299-critical-remote-code-execution-vulnerability-in-fortinac