ハッカーグループは Array AG シリーズの企業向けゲートウェイに存在するセキュリティギャップを悪用し、管理者に気付かれることなく隠れた管理用マイクロプログラムを埋め込み、不正なユーザーアカウントを作成していました。この欠陥は CVE-2025-66644 として追跡されており、デバイス上で任意のコマンドを実行できることから、攻撃者はあたかも完全な特権アクセスを持つかのようにシステム環境を操作できる状態になっていました。
JPCERT/CC からの警告を受けて、この問題は一段と深刻さを増しました。同チームは、攻撃が少なくとも 8 月から継続しており、主に日本国内の組織を標的としていることを確認しました。解析の結果、悪意あるコンポーネントの配布およびその後のすべての活動は、194.233.100[.]138 という単一のアドレスから行われていたことが判明しました。このアドレスは侵入の起点であると同時に、侵害されたマシンに対するコマンドノードとしても機能していました。いくつかの調査事例では、攻撃者が /ca/aproxy/webapp/ ディレクトリに PHP スクリプトをアップロードしようと試みていたことが確認されています。このスクリプトは、オペレーターにトラフィックの完全な制御権を与え、リクエストのリダイレクトや秘匿されたタスクの実行を可能にするものでした。
ArrayOS AG の 9.4.5.8 より前のすべてのバージョンが脆弱であり、ハードウェアアプライアンスと、DesktopDirect モジュールが有効化された仮想インスタンスの両方が対象となります。このモジュールはシステムに追加機能を提供しますが、その機能がインジェクション攻撃に対して脆弱であることが判明しました。研究者らは、9.4.5.9 へのアップデートによってこの欠陥が完全に解消されると強調しています。すぐにパッチを適用できない組織向けの一時的な緩和策としては、リモートデスクトップアクセスが不要であればすべての DesktopDirect サービスを無効化すること、そして攻撃者が悪意あるペイロードを作成する際に依存しているセミコロンを含むリクエストをフィルタリングすることが挙げられます。こうしたフィルタリングは、再感染リスクを低減する有効な手段となります。
Array AG シリーズは、大企業インフラにおいて重要な位置を占めています。これらのデバイスは、従業員が社内アプリケーション、仮想デスクトップ、クラウドリソースへアクセスするための暗号化 SSL チャネルを確立します。この種のゲートウェイは、社内外を問わず安定した運用が求められる環境に頻繁に配備されており、そのため一度侵害が発生すると、多数の重要なビジネスプロセスが一挙に妨害される可能性があります。
憂慮すべき報告が相次いだことを受け、Macnica の研究者である瀬津山豊氏は、インターネット上に公開されているデバイスの全数調査を実施しました。そのスキャンにより、世界で 1,831 台のインスタンスが確認され、中国、日本、米国に集中していることが分かりました。少なくとも 11 ノードで DesktopDirect が稼働していることが確認されましたが、多くのシステムが企業のアクセス制御ポリシーやネットワークマスキングツールの背後に隠れているため、実際の数はさらに多いとみられます。
瀬津山氏はまた、地域ごとに脅威認識に大きな偏りがあることを指摘しました。アジア以外の地域では、この問題に対する組織の危機感が著しく低いと述べています。国際企業は、より広く普及したプラットフォームを狙う脅威を優先しがちであり、Array AG シリーズへの攻撃が世界的なインシデント対応報告に登場することはほとんどありません。その結果、この脆弱性の悪用規模は長期間にわたり過小評価されてきました。
ジャーナリストらは、Array Networks に対し、同社が正式なアドバイザリを公開し CVE 識別子を割り当てる予定があるかどうかを問い合わせましたが、現時点でベンダーからのコメントは得られていません。一方で、AG ラインのハードウェアが標的となるのは今回が初めてではありません。わずか 1 年前にも、CISA は AG および vxAG プラットフォームの双方でコード実行を可能にする重大な欠陥 CVE-2023-28461 の積極的な悪用を文書化しています。
翻訳元: https://meterpreter.org/covert-backdoor-array-ag-gateway-exploit-allows-command-execution/
