Atacurile asupra echipamentelor de rețea revin în prim-plan: actori malițioși profită de o vulnerabilitate de tip command injection în dispozitivele Array AG Series VPN, vizând în special organizaţii din Japonia. Istoricul incidentelor arată că echipamentele de acces securizat sunt frecvent ţinta tentativelor de penetrare a reţelelor corporative, iar alertele recente emise de agenţii precum CISA confirmă că problemele netratate pot reapărea periodic.
JPCERT/CC a raportat că atacurile se desfăşoară de cel puţin august şi că atacatorii au utilizat adresa IP 194.233.100.138 pentru a iniţia şi coordona operaţiunile. În cazurile confirmate, s-a încercat plasarea unui fişier PHP în /ca/aproxy/webapp/, ceea ce indică instalarea de webshell-uri pentru menţinerea accesului persistent şi posibilitatea creării de conturi neautorizate. Vulnerabilitatea permite, practic, injectarea de comenzi pe sistemele afectate, cu riscul de comunicări externe neautorizate şi compromiterea resurselor interne.
Problema afectează ArrayOS AG 9.4.5.8 şi versiunile anterioare, pe dispozitive hardware şi pe instanţe virtuale AG Series cu DesktopDirect activat. Array Networks a publicat în mai o actualizare care remediază deficienţa, însă nu a atribuit încă un identificator CVE, ceea ce îngreunează urmărirea şi gestionarea patch-urilor la scară largă. JPCERT/CC recomandă administratorilor care nu pot instala imediat update-ul să dezactiveze DesktopDirect dacă nu îl folosesc şi să aplice filtrare URL pentru a bloca accesul la adrese ce conţin caracterul punct şi virgulă, tehnică folosită în exploatare.
Pentru context, gama Array Networks AG Series include gateway-uri de acces securizat care folosesc VPN SSL pentru tuneluri criptate, folosite de corporaţii pentru acces remote la reţele, aplicaţii, desktopuri şi resurse cloud. Astfel de echipamente sunt tipic prezente în medii enterprise unde mobilitatea angajaţilor şi munca la distanţă sunt importante. Cercetările lui Yutaka Sejiyama (Macnica) arată că scanările au identificat 1.831 de instanţe ArrayAG la nivel global, cu concentraţii în China, Japonia şi Statele Unite, iar cel puţin 11 gazde au confirmat DesktopDirect activ; autorul avertizează însă că numărul real al instanţelor vulnerabile ar putea fi mult mai mare.
Un aspect important semnalat de cercetător este că baza de utilizatori este concentrată în Asia, iar majoritatea atacurilor observate în Japonia ar fi putut conduce la o atenţie redusă din partea furnizorilor de securitate din afara regiunii. BleepingComputer a încercat să obţină de la Array Networks un răspuns privind emiterea unui CVE-ID şi un comunicat oficial despre defectul exploatat activ, fără a primi până la publicare un răspuns. Reamintim că anul trecut CISA a emis un avertisment privind exploatarea activă a CVE-2023-28461, o vulnerabilitate critică de execuţie de cod la distanţă în Array Networks AG şi vxAG ArrayOS, ceea ce subliniază faptul că produsele pentru acces remote rămân ţinte sensibile.
Array OS versiunea 9.4.5.9 rezolvă problema descrisă în raport, iar exemple concrete din anchetă includ IP-ul 194.233.100.138 şi calea /ca/aproxy/webapp/ folosită pentru încercările de upload de webshell-uri. Dincolo de aspectele tehnice ale unui update sau ale unui filtru URL, problema mai amplă ţine de importanţa inventarierii dispozitivelor critice şi a proceselor de gestionare a patch-urilor, în special când nu există un CVE care să centralizeze informaţiile. Identificarea a peste 1.800 de instanţe la nivel mondial şi a cel puţin 11 cu DesktopDirect activ evidenţiază că echipele de securitate trebuie să prioritizeze verificarea setărilor implicite, aplicarea actualizărilor disponibile şi monitorizarea comunicaţiilor cu IP-uri suspecte.
Ce măsuri concrete veţi lua în reţeaua voastră pentru a identifica şi proteja dispozitivele Array AG Series?
Fii primul care comentează