As infraestruturas de segurança de várias organizações estão sob fogo cruzado devido a uma vulnerabilidade crítica nos dispositivos VPN da série AG da Array Networks. A falha de injeção de comandos está a ser ativamente explorada por piratas informáticos para implantar webshells e criar contas de utilizador não autorizadas nos sistemas afetados, comprometendo gravemente a integridade das redes corporativas.
Embora a Array Networks tenha corrigido a vulnerabilidade numa atualização de segurança lançada em maio, a ausência de uma identificação oficial CVE (Common Vulnerabilities and Exposures) tem dificultado o rastreio da falha e a gestão das atualizações por parte dos administradores de sistemas. Segundo um alerta de segurança emitido pelo JPCERT, a equipa de resposta a emergências informáticas do Japão, os ataques têm ocorrido pelo menos desde agosto, visando especificamente organizações naquele país.
Oculta e perigosa: os detalhes da exploração
A agência japonesa detalha que os ataques provêm de um endereço específico, que também é utilizado para as comunicações maliciosas subsequentes. Nos incidentes confirmados, foi detetada a execução de comandos que tentavam colocar um ficheiro webshell PHP num caminho específico do sistema (/ca/aproxy/webapp/), permitindo aos atacantes manterem o acesso persistente à rede.
A vulnerabilidade afeta o ArrayOS AG na versão 9.4.5.8 e anteriores, abrangendo tanto o hardware da série AG como as appliances virtuais que tenham a funcionalidade de acesso remoto "DesktopDirect" ativada. Este cenário é particularmente preocupante para grandes empresas que dependem destas gateways de acesso seguro para facilitar o teletrabalho e o acesso a aplicações na nuvem através de túneis encriptados.
Mitigação e impacto global
Para resolver o problema, é essencial atualizar para a versão Array OS 9.4.5.9, que corrige a falha. Caso a atualização imediata não seja possível, o JPCERT recomenda desativar todos os serviços DesktopDirect se estes não estiverem em uso, ou utilizar filtragem de URL para bloquear o acesso a endereços que contenham ponto e vírgula, um vetor comum para este tipo de injeção.
A extensão do problema é global. O investigador de segurança Yutaka Sejiyama, da Macnica, revelou ter detetado 1.831 instâncias do ArrayAG expostas mundialmente, com concentrações na China, Japão e Estados Unidos. Embora tenha verificado que apenas 11 anfitriões tinham o DesktopDirect inequivocamente ativado, alertou que o número real pode ser significativamente superior. A situação tem gerado discussão na comunidade de segurança e na rede social X, onde a falta de atenção fora do Japão foi apontada como um fator de risco, dado que a base de utilizadores destes produtos se concentra maioritariamente na Ásia.
No ano passado, a CISA já tinha alertado para a exploração ativa de outra falha crítica (CVE-2023-28461) nos produtos da Array Networks, sublinhando a importância de manter estes dispositivos de ponta rigorosamente atualizados.
Nenhum comentário
Seja o primeiro!