概要
Array NetworksのArrayOS AGシステムにおいて、重大なコマンドインジェクションの脆弱性が確認され、現在活発な悪用キャンペーンの標的となっています。特に日本の組織では、2025年8月以降、複数の攻撃が確認されています。攻撃者はこの脆弱性を悪用してウェブシェルをインストールし、永続的なネットワークアクセスを確立しており、企業VPNインフラを標的とした攻撃が著しくエスカレートしていることがJPCERT/CCからのアラートで明らかになりました。
脆弱性の詳細と影響範囲
この脆弱性は、Array NetworksのArray AGシリーズのDesktopDirect機能に存在します。DesktopDirectはリモートデスクトップアクセスを提供する機能であり、認証情報なしに任意のコマンドを実行可能にするコマンドインジェクションの脆弱性を抱えています。Array Networksは2025年5月にパッチを公開していたものの、その後の数ヶ月間で、複数の日本の組織で未パッチのシステムが悪用される事態となっています。
影響を受けるシステムは、DesktopDirect機能が有効になっているArrayOS AGバージョン9.4.5.8以前です。これは、多くの企業が重要なリモートアクセスインフラとしてArray NetworksのVPNソリューションを導入しているため、潜在的に広範な攻撃対象領域を示しています。数ヶ月にわたり攻撃が継続し、その間ほとんど文書化されていなかったという事実は、組織がネットワークの重要なシステムのセキュリティ更新を遅らせることによって生じる重大なリスクを浮き彫りにしています。
攻撃の手口
JPCERT/CCの調査により、攻撃者がこの脆弱性を悪用して以下の活動を行っていることが確認されています。
- 侵害されたシステム内にウェブシェルを展開。
- 不正なユーザーアカウントを作成。
- 侵害されたデバイスを悪用して内部ネットワーク偵察を実施。
特に、攻撃者は「/ca/aproxy/webapp/」パスを標的としてPHPウェブシェルファイルをインストールし、持続的なアクセスを確保しています。さらに、攻撃トラフィックに関連する単一の送信元IPアドレス「194.233.100.138」が特定されており、集中管理されたコマンド&コントロールインフラの存在が示唆されています。初期の悪用からウェブシェルの展開に至るまでの攻撃チェーンは高度に洗練されており、認証情報の変更やネットワークの変更に関わらず、脅威アクターが永続的なアクセスを維持できることを意味します。新しいユーザーアカウントの作成は、主要な脆弱性がパッチ適用されても存続するためのフォールバックアクセス機構を確立しようとしていることを示唆しています。
推奨される対策
Array Networksは、直ちにArrayOS AG 9.4.5.9へのアップグレードを推奨しています。このバージョンには必要なセキュリティ修正が含まれていますが、適用にはシステム再起動が必要であり、フォレンジック調査やインシデント対応において重要なログ損失が発生する可能性があるため、展開前に十分なテストを行う必要があります。
すぐにパッチを適用できない組織向けには、暫定的な回避策が提供されています。
- 運用上不要な場合は、DesktopDirectサービスを無効化する。
- コマンドインジェクション攻撃で頻繁に悪用されるセミコロン文字を含むURLへのアクセスをブロックするURLフィルターを実装する。
現在脆弱なArrayOS AGバージョンを実行している組織は、直ちに侵害の兆候を調査すべきです。推奨される調査活動は以下の通りです。
- 予期しないユーザーアカウントの有無を確認する。
- 「/ca/aproxy/webapp/」ディレクトリ内のウェブシェルアーティファクトを分析する。
- 特定された悪意のあるIPアドレスからの接続がないかネットワークトラフィックログをレビューする。
パッチ適用中にログ損失が発生する可能性を考慮し、修復活動を行う前にフォレンジック証拠の保全を優先することが重要です。
結論
今回の脆弱性は、企業VPNインフラを標的とする脅威が依然として存在し、セキュリティ対策の遅延が内部ネットワークへの直接的なアクセスを許してしまう可能性があるという根深い脅威の状況を強調しています。組織は、このような重要なシステムに対するセキュリティの維持に最大限の注意を払い、迅速な対応を心がける必要があります。