米国のサイバー防衛機関は、ハッカーがSSL VPN製品Array Networks AGおよびvxAG ArrayOSのリモートコード実行の脆弱性を積極的に悪用している証拠を入手した。
このセキュリティ問題はCVE-2023-28461として追跡され、重大度スコアはクリティカル9.8とされ、同機関はこれを既知の悪用される脆弱性(KEV)のカタログに含めている。
このバグは、脆弱な URL を介して悪用される可能性があり、Array AG シリーズおよび vxAG バージョン 9.4.0.481 以前のバージョンにおいて、リモートでのコード実行を許す不適切な認証の問題です。
「(CVE-2023-28461は)[…]攻撃者が認証なしでHTTPヘッダのflags属性を使用してファイルシステムを閲覧したり、SSL VPNゲートウェイ上でリモートコードを実行したりできるWebセキュリティの脆弱性です」と、ベンダーはセキュリティ速報で述べている。
この欠陥は昨年3月9日に公開され、アレイ・ネットワークスはその約1週間後にArray AGリリース9.4.0.484で修正した。
Array Networks AGシリーズ(ハードウェア・アプライアンス)およびvxAGシリーズ(仮想アプライアンス)は、企業ネットワーク、企業アプリケーション、およびクラウドサービスへのセキュアなリモートアクセスおよびモバイルアクセスを提供するSSL VPN製品である。
ベンダーによると、企業、サービス・プロバイダー、政府機関など、世界中で5,000社以上の顧客に利用されている。
CISAは、誰がこの脆弱性を利用しているのか、また対象となる組織についての詳細は明らかにしていないが、”活発に悪用されている証拠に基づいて “Known Exploited Vulnerabilities(KEV)カタログに追加した。
同機関は、すべての連邦政府機関および重要インフラ組織に対し、12月16日までにセキュリティ・アップデートと利用可能な緩和策を適用するか、製品の使用を停止するよう勧告している。
影響を受ける製品のセキュリティアップデートは、Arrayのサポートポータルから入手できる。ベンダーはまた、セキュリティ勧告の中で、アップデートをすぐにインストールできない場合に脆弱性を緩和するための一連のコマンドを提供している。
ただし、クライアントセキュリティの機能、VPNクライアントの自動アップグレード機能、およびポータルのユーザーリソース機能に悪影響を及ぼす可能性があるため、組織はまずコマンドの効果をテストする必要がある。
Comments