Зловредни хакери са експлоатирали уязвимост за командно инжектиране в устройства Array AG Series VPN, позволявайки им да поставят webshells и да създават незаконни потребители.

Производителят Array Networks е пуснал актуализация през май 2025 г., но не е присвоил идентификатор на уязвимостта (CVE), което усложнява проследяването и управлението на пачовете.

Инциденти в Япония

Според съобщение на Japan Computer Emergency Response Team (JPCERT/CC) атаките са активни поне от август 2025 г. и са насочени към организации в Япония.

• Използван IP адрес: 194.233.100[.]138

• Цел: поставяне на PHP webshell в /ca/aproxy/webapp/

Уязвимостта засяга ArrayOS AG 9.4.5.8 и по-стари версии, включително хардуерни и виртуални устройства с активирана функция DesktopDirect.

Решения и препоръки

ArrayOS версия 9.4.5.9 решава проблема. Ако актуализацията не е възможна, JPCERT предлага следните мерки:

• Деактивиране на всички DesktopDirect услуги, ако функцията не се използва

• Блокиране на URL адреси съдържащи semicolon (;) чрез URL филтриране

Обхват и рискове

Array Networks AG Series предоставя SSL VPN тунели за сигурен отдалечен достъп до корпоративни мрежи, приложения и облачни ресурси. Устройствата се използват основно от големи предприятия и организации, които поддържат дистанционна работа.

Според изследване на Ютака Седжуяма (Macnica):

• В световен мащаб има 1,831 ArrayAG инстанции, основно в Китай, Япония и САЩ

• Поне 11 хоста имат активирана DesktopDirect функция, като вероятността за още активни инстанции е значителна

Седжуяма подчертава, че поради концентрацията на потребителите в Азия и атаките, фокусът на глобалните доставчици на сигурност е ограничен.