Ataques exploram falha em VPNs da linha Array AG Series para instalar webshells e criar usuários maliciosos
Cibercriminosos vêm explorando uma vulnerabilidade de command injection em dispositivos VPN da linha Array AG Series para plantar webshells e criar usuários não autorizados.
A fabricante Array Networks corrigiu o problema em uma atualização de segurança lançada em maio.
No entanto, a falha ainda não possui um identificador oficial (CVE), o que dificulta o acompanhamento e o gerenciamento dos patches.
Um alerta do Computer Emergency Response Team (CERT) do Japão aponta que os ataques, registrados pelo menos desde agosto, têm como alvo organizações locais.
Segundo o órgão, as investidas partem do endereço IP 194.233.100[.]138, utilizado também para comunicações relacionadas.
“No incidentes confirmados pelo JPCERT/CC, foi executado um comando que tentou inserir um arquivo webshell PHP no caminho /ca/aproxy/webapp/”, informa o boletim (tradução livre).
A vulnerabilidade afeta o ArrayOS AG versão 9.4.5.8 e anteriores, abrangendo tanto equipamentos físicos quanto appliances virtuais da série AG com o recurso DesktopDirect ativado para acesso remoto.
O JPCERT indica que a versão 9.4.5.9 do ArrayOS corrige a falha e sugere as seguintes medidas temporárias caso a atualização não seja possível:
• Desativar todos os serviços do DesktopDirect caso o recurso não esteja em uso;
• Bloquear o acesso a URLs que contenham ponto e vírgula por meio de filtragem de URLs.
Os dispositivos da linha Array Networks AG Series funcionam como gateways seguros, utilizando SSL VPN para criar túneis criptografados que garantem acesso remoto protegido a redes corporativas, aplicações, desktops e recursos na nuvem.
São amplamente empregados por grandes empresas para viabilizar o trabalho remoto ou mobile de seus colaboradores.
O pesquisador de segurança Yutaka Sejiyama, da Macnica, divulgou no X (antigo Twitter) que suas varreduras identificaram 1.831 instâncias do Array AG ao redor do mundo, concentradas principalmente na China, no Japão e nos Estados Unidos.
Ele confirmou que pelo menos 11 dessas máquinas têm o recurso DesktopDirect ativado, mas alertou que o número real pode ser maior.
“Como a base de usuários do produto é concentrada na Ásia e a maioria dos ataques ocorre no Japão, fornecedores de segurança e instituições fora do país aparentemente não estão dando a atenção necessária”.
A reportagem entrou em contato com a Array Networks para saber se a empresa pretende divulgar um CVE e um comunicado oficial sobre a vulnerabilidade explorada.
Até a publicação, não houve resposta.
No ano passado, a agência americana CISA já havia emitido um alerta sobre a exploração ativa da falha crítica
CVE-2023-28461
, que permite execução remota de código em versões do Array Networks AG e vxAG ArrayOS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...