В российском Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, которая затрагивает сетевые шлюзы популярного вендора Array Networks. Уязвимость, получившая идентификаторы BDU:2025-16185 и CVE-2025-66644, позволяет удаленному злоумышленнику полностью захватить контроль над устройством. Эксперты уже фиксируют активные атаки в дикой природе, что делает оперативное обновление систем жизненно необходимым.
Детали уязвимости
Проблема существует в операционной системе ArrayOS, которая используется в шлюзах серии AG. Конкретно, ошибка кроется в функции удаленного доступа к рабочему столу под названием DesktopDirect. Технически, это классическое внедрение команд операционной системы (CWE-78). Иными словами, злоумышленник может отправить специально сформированные данные, которые система ошибочно воспримет как команды для выполнения. В результате, не прошедший аутентификацию атакующий получает возможность запускать произвольные команды на устройстве с максимальными привилегиями.
Уровень опасности этой уязвимости оценивается как критический по всем метрикам. Базовая оценка по шкале CVSS 2.0 достигает максимального значения 10.0, а по современной CVSS 3.1 составляет 9.8 из 10. Такой высокий балл обусловлен тем, что для эксплуатации не требуется никаких предварительных условий: атака выполняется удаленно, без необходимости в учетных данных и без взаимодействия с пользователем. Успешная эксплуатация ведет к полной компрометации устройства: нарушитель может читать и изменять любые данные, оставаться в системе (persistence) и использовать устройство как плацдарм для атак на внутреннюю сеть организации.
Производитель, компания Array Networks, оперативно отреагировал на обнаружение проблемы. Уязвимость была подтверждена, и в версии ArrayOS 9.4.5.9 выпущено исправление. Следовательно, основная и настоятельная рекомендация для всех администраторов - немедленно обновить программное обеспечение своих шлюзов AG до указанной или более поздней версии. Обновления доступны на официальном портале технической поддержки вендора.
Однако ситуация осложняется тем, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе. Более того, кибербезопасностное сообщество и профильные СМИ сообщают о реальных случаях эксплуатации. Злоумышленники активно используют уязвимость для размещения веб-шеллов (webshell) на скомпрометированных устройствах. Веб-шелл - это вредоносный скрипт, который предоставляет атакующему постоянный удаленный доступ и контроль, часто используемый для последующего развертывания ransomware (шифровальщиков) или других вредоносных полезных нагрузок (payload). Факт активных атак подтверждает и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), внесшее CVE-2025-66644 в свой каталог известных эксплуатируемых уязвимостей.
Если немедленное обновление по каким-либо причинам невозможно, производитель и эксперты по безопасности рекомендуют временные компенсирующие меры. Наиболее эффективным решением будет полное отключение функции удаленного доступа DesktopDirect через веб-интерфейс или командную строку устройства. Альтернативно, можно настроить фильтрацию URL-запросов для блокировки любых обращений, содержащих в адресе точку с запятой - символ, который является ключевым для проведения данной атаки. Тем не менее, важно понимать, что эти меры носят временный характер и могут повлиять на легитимные процессы удаленного администрирования.
Данный инцидент служит очередным напоминанием о критической важности своевременного управления обновлениями для сетевого периферийного оборудования. Шлюзы VPN и балансировщики нагрузки, такие как продукты Array Networks, часто находятся на границе сети и являются привлекательной мишенью для групп APT (продвинутые постоянные угрозы) и киберпреступников. Регулярный мониторинг источников, таких как BDU или каталог CISA, а также оперативная установка патчей должны быть неотъемлемой частью стратегии безопасности любой организации. В противном случае, критическая уязвимость, оставшаяся без внимания, может стать точкой входа для масштабного инцидента.
Ссылки
- https://bdu.fstec.ru/vul/2025-16185
- https://www.cve.org/CVERecord?id=CVE-2025-66644
- https://www.jpcert.or.jp/at/2025/at250024.html
- https://github.com/Ashwesker/Blackash-CVE-2025-66644
