JPCERT/CC, японский центр реагирования на компьютерные инциденты, выпустил экстренное предупреждение об активно эксплуатируемой уязвимости в устройствах Array Networks серии AG. Уязвимость, позволяющая внедрение команд (command injection), затрагивает функцию DesktopDirect, предназначенную для организации удаленного доступа к рабочим столам. Эксперты центра подтвердили, что с августа 2025 года в Японии фиксируются успешные атаки, в ходе которых злоумышленники устанавливали веб-шеллы (webshell, веб-оболочку для удаленного управления) и создавали новых пользователей на скомпрометированных устройствах.
Описание
Согласно заявлению JPCERT/CC, уязвимость затрагивает версии ArrayOS AG 9.4.5.8 и более ранние, при условии, что функция DesktopDirect активна. Производитель, компания Array Networks, уже выпустила исправление в обновлении ArrayOS AG 9.4.5.9 еще в мае 2025 года. Однако, как показывает практика, многие организации до сих пор не установили патч, что привело к реальным инцидентам безопасности.
Атаки, по данным исследователей, начались в августе и продолжаются. Злоумышленники используют уязвимость для выполнения произвольных команд на целевых устройствах. В частности, в подтвержденных случаях атакующие пытались загрузить вредоносный (malicious) PHP-файл веб-шелла в директорию, содержащую путь "/webapp/". Кроме того, наблюдались попытки создания новых пользователей на самом устройстве и последующего проникновения (lateral movement) во внутреннюю сеть организации через скомпрометированный апплайнс.
JPCERT/CC предоставил один из наблюдаемых индикаторов компрометации (IoC) - IP-адрес "194.233.100[.]138", который использовался как источник атакующего трафика. Специалисты настоятельно рекомендуют организациям, использующим уязвимые версии, немедленно провести расследование на предмет возможного взлома. Важно отметить, что установка обновления с перезагрузкой устройства может привести к потере журналов (logs), критически важных для расследования. Следовательно, перед обновлением необходимо обеспечить их сохранность и провести тщательный анализ.
В качестве временного решения, если немедленное обновление невозможно, Array Networks предлагает два варианта. Во-первых, можно полностью отключить все сервисы DesktopDirect, если эта функция не используется в инфраструктуре. Во-вторых, рекомендуется настроить URL-фильтр на устройстве для блокировки любых запросов, содержащих в адресе символ точки с запятой (";"), который, вероятно, является частью вектора эксплуатации уязвимости.
Данный инцидент ярко демонстрирует классическую цепочку кибератаки. Сначала злоумышленники используют уязвимость для первоначального доступа, затем обеспечивают постоянное присутствие (persistence) в системе с помощью веб-шелла, после чего перемещаются по сети для достижения своих финальных целей. Отсутствие присвоенного идентификатора CVE на момент публикации предупреждения несколько осложняет автоматизированный мониторинг угроз, делая ручное ознакомление с подобными предупреждениями от национальных CERT'ов крайне важным для служб безопасности.
Таким образом, владельцам устройств Array Networks серии AG необходимо срочно предпринять действия. Приоритетом должно стать обновление прошивки до исправленной версии 9.4.5.9. Если это невозможно в кратчайшие сроки, следует незамедлительно применить временные меры и провести глубокий аудит систем на предмет признаков компрометации, обращая особое внимание на подозрительные файлы в веб-директориях и журналы аутентификации.
Индикаторы компрометации
IPv4
- 194.233.100.138
