Хакерські угруповання активно використовують уразливість із можливістю виконання команд у VPN-пристроях серії Array AG, що дозволяє їм розміщувати вебшелли та створювати несанкціоновані облікові записи. Попри те, що помилку було виправлено у травневому оновленні, виробник досі не присвоїв уразливості окремий ідентифікатор, що ускладнює її відстеження.
CERT Японії повідомляє, що атаки тривають щонайменше з серпня, а зловмисники використовують IP-адресу 194.233.100[.]138 як для атаки, так і для подальших команд і контролю. У виявлених інцидентах хакери намагалися розмістити PHP-вебшелл у каталозі /ca/aproxy/webapp/.
Уразливими залишаються всі версії ArrayOS AG до 9.4.5.8, включно з апаратними та віртуальними пристроями, якщо активовано компонент DesktopDirect — інструмент для віддаленого доступу до робочих столів.
CERT рекомендує терміново оновитися до версії 9.4.5.9. Якщо оновлення неможливе, радять вимкнути DesktopDirect або заблокувати URL-запити з символом “;”, який використовують для обходу обмежень.
Пристрої Array AG широко застосовуються у великих корпораціях для забезпечення захищеного віддаленого доступу. Дослідники зафіксували щонайменше 1 831 активний пристрій у світі, більшість — у Китаї, Японії та США. Принаймні 11 з них мають активний DesktopDirect, але реальна кількість може бути значно більшою.
Уразливість уже активно експлуатується, але компанія Array Networks досі не надала офіційного CVE та документації. Ситуація становить серйозну загрозу організаціям, які використовують AG Series для критично важливого віддаленого доступу. Негайне оновлення та відключення непотрібних функцій є ключовими кроками для мінімізації ризиків.
