A támadók az Array AG Series VPN eszközökben található parancs injektálási (command injection) sérülékenységet kihasználva webshell-eket telepítenek, illetve jogosulatlan felhasználói fiókokat hoznak létre.
Az Array Networks AG Series olyan biztonságos hozzáférési átjárókból áll, amelyek SSL VPN-technológiára építve titkosított távoli hozzáférést biztosítanak vállalati hálózatokhoz, alkalmazásokhoz, munkaállomásokhoz és felhőszolgáltatásokhoz. Az eszközöket elsősorban nagyvállalati környezetben alkalmazzák.
A japán Computer Emergency and Response Team (JPCERT) közleménye szerint a támadók már augusztus óta aktívan kihasználják a sérülékenységet, japán szervezeteket célozva. A jelentés alapján a támadások a 194[.]233[.]100[.]138 IP-címről indulnak, amelyet a további kommunikáció során is használnak. A sérülékenység az ArrayOS AG 9.4.5.8 és korábbi verzióit érinti, beleértve az AG Series hardveres és virtuális platformjait is, amennyiben a ‘DesktopDirect’ távoli hozzáférési funkció engedélyezve van.
A JPCERT tájékoztatása szerint a szükséges javítás az ArrayOS 9.4.5.9-es verziójában érhető el. Amennyiben az azonnali frissítés nem megoldható, az alábbi átmeneti intézkedések javasoltak:
- A DesktopDirect funkció és az ahhoz tartozó szolgáltatások letiltása, ha nincs rájuk szükség
- URL-szűrés alkalmazása a pontosvesszőt (;) tartalmazó URL-ek blokkolására
Annak ellenére, hogy az Array Networks a sebezhetőséget egy májusi biztonsági frissítés során javította, hivatalos azonosítót (például CVE-számot) nem rendelt hozzá, ami megnehezíti a sérülékenység követhetőségét és az egyeséges patch kezelést. A BleepingComputer megkereste a gyártót annak tisztázására, hogy tervezik-e CVE-azonosító kiadását és hivatalos biztonsági közlemény publikálását a jelenleg is aktívan kihasznált sérülékenységről, azonban a cikk megjelenéséig nem érkezett válasz.