ArrayOS AG VPNの脆弱性を悪用した攻撃
脅威アクターが、Array AG Series VPNデバイスのコマンドインジェクションの脆弱性を悪用し、ウェブシェルを設置し不正なユーザーを作成しています。Array Networksは5月のセキュリティアップデートでこの脆弱性を修正しましたが、識別子を割り当てていないため、脆弱性の追跡とパッチ管理が複雑になっています。
JPCERT/CCによる警告と対策
日本のコンピュータ緊急対応チーム(JPCERT/CC)からのアドバイザリは、少なくとも8月以降、日本国内の組織を標的とした攻撃でこの脆弱性が悪用されていると警告しています。JPCERT/CCによると、攻撃はIPアドレス 194.233.100[.]138 から発信されており、このIPアドレスは通信にも使用されています。
「JPCERT/CCが確認したインシデントでは、/ca/aproxy/webapp/パスにPHPウェブシェルファイルを配置しようとするコマンドが実行されました」と報告書は述べています。
この脆弱性は、ArrayOS AG 9.4.5.8以前のバージョンに影響し、DesktopDirectリモートアクセス機能が有効になっているAG Seriesハードウェアおよび仮想アプライアンスが含まれます。JPCERT/CCは、Array OSバージョン9.4.5.9で問題が解決されると述べており、アップデートが不可能な場合の以下の回避策を提示しています:
- DesktopDirect機能を使用していない場合は、すべてのDesktopDirectサービスを無効にする。
- URLフィルタリングを使用して、セミコロンを含むURLへのアクセスをブロックする。
脆弱性の詳細と影響
Array Networks AG Seriesは、SSL VPNに依存して暗号化されたトンネルを作成し、企業ネットワーク、アプリケーション、デスクトップ、クラウドリソースへの安全なリモートアクセスを提供するセキュアアクセスゲートウェイのラインナップです。通常、リモートワークやモバイルワークを促進する必要がある大企業やエンタープライズで使用されます。
世界的な露出状況と今後の課題
マクニカのセキュリティ研究者である瀬島 悠氏は、X(旧Twitter)で、彼のスキャンが全世界で1,831のArrayAGインスタンスを検出したと報告しました。これらは主に中国、日本、米国に集中しています。研究者は、少なくとも11のホストでDesktopDirect機能が有効になっていることを確認しましたが、DesktopDirectが有効なホストがさらに存在する可能性は大きいと警告しています。
瀬島氏はBleepingComputerに対し、「この製品のユーザーベースはアジアに集中しており、観測された攻撃のほとんどが日本であるため、日本国外のセキュリティベンダーやセキュリティ組織はあまり注目していませんでした」と語りました。
BleepingComputerは、Array Networksに対し、積極的に悪用されている脆弱性に対するCVE-IDと公式アドバイザリを公開する予定があるか問い合わせましたが、公開時点までに回答は得られませんでした。
昨年、CISAはArray Networks AGおよびvxAG ArrayOSにおける重大なリモートコード実行の脆弱性であるCVE-2023-28461の積極的な悪用について警告しました。