脅威アクターが Array AG シリーズ VPN デバイスのコマンドインジェクションの脆弱性を悪用し、Web シェルを設置したり、不正なユーザーを作成したりしていることが確認されています。
Array Networks は 5 月のセキュリティアップデートでこの脆弱性を修正しましたが、識別子を割り当てておらず、脆弱性の追跡やパッチ管理を複雑にしています。
日本のコンピュータ緊急対応チーム(CERT)である JPCERT/CC のアドバイザリ によると、この脆弱性は少なくとも 8 月以降、日本国内の組織を標的とした攻撃で悪用されているとのことです。
同機関によると、攻撃は IP アドレス 194.233.100[.]138 から行われており、このアドレスは通信にも使用されています。
「JPCERT/CC が確認したインシデントでは、/ca/aproxy/webapp/ パスに PHP Web シェルファイルを配置しようとするコマンドが実行されていました」と、(機械翻訳された)通達には記されています。
この脆弱性は ArrayOS AG 9.4.5.8 以前のバージョンに影響し、AG シリーズのハードウェアおよび仮想アプライアンスで、リモートアクセス機能「DesktopDirect」が有効になっているものが対象となります。
JPCERT によると、Array OS バージョン 9.4.5.9 で問題が解消されており、アップデートが不可能な場合の回避策として以下を提示しています。
- DesktopDirect 機能を使用していない場合は、すべての DesktopDirect サービスを無効化する
- URL フィルタリングを使用して、セミコロンを含む URL へのアクセスをブロックする
Array Networks AG シリーズは、SSL VPN を利用して暗号化トンネルを作成し、企業ネットワーク、アプリケーション、デスクトップ、クラウドリソースへの安全なリモートアクセスを提供するセキュアアクセスゲートウェイ製品群です。
一般的に、大規模組織や企業が、リモートワークやモバイルワークを実現するために利用しています。
Macnica のセキュリティリサーチャーである 瀬路山 裕 氏は X への投稿で、世界中で 1,831 台の ArrayAG インスタンスをスキャンで確認しており、その大半が中国、日本、米国に存在すると報告しました。
研究者は、少なくとも 11 ホストで DesktopDirect 機能が有効になっていることを確認しましたが、DesktopDirect が有効なホストはさらに多く存在する可能性が高いと警告しています。
「この製品のユーザーベースはアジアに集中しており、観測されている攻撃のほとんどが日本で発生しているため、日本国外のセキュリティベンダーやセキュリティ機関は十分な注意を払っていません」と瀬路山氏は BleepingComputer に語りました。
BleepingComputer は Array Networks に対し、現在悪用されているこの脆弱性について CVE-ID と公式アドバイザリを公開する予定があるかどうか問い合わせましたが、記事公開時点までに回答は得られていません。
昨年、CISA は、Array Networks AG および vxAG ArrayOS における重大なリモートコード実行の脆弱性 CVE-2023-28461 が積極的に悪用されていると警告していました。
