Wprowadzenie do problemu / definicja luki
JPCERT/CC ostrzega, że co najmniej od sierpnia 2025 r. aktywni napastnicy wykorzystują nienazwaną jeszcze (bez CVE) podatność typu command injection w Array AG Series (ArrayOS AG), aby instalować webshelle i zakładać fałszywe konta na bramach SSL VPN. Luka dotyczy instalacji z włączonym modułem DesktopDirect; producent wydał poprawkę w maju 2025 r. (ArrayOS AG 9.4.5.9), ale wiele urządzeń pozostaje niezałatanych.
W skrócie
- Dotyczy: Array AG/vxAG z ArrayOS AG ≤ 9.4.5.8, gdy DesktopDirect jest włączony.
- Wykorzystanie: wstrzyknięcie komend (command injection) prowadzące do webshelli w katalogu
/ca/aproxy/webapp/i tworzenia nowych użytkowników. - Eksploatacja obserwowana od: 08.2025; ostrzeżenie JPCERT/CC z 03.12.2025.
- Poprawka: ArrayOS AG 9.4.5.9 (zalecana aktualizacja) + obejścia (wyłączenie DesktopDirect, filtr URL blokujący średnik
;). - IOC: ruch z 194.233.100[.]138.
Kontekst / historia / powiązania
Urządzenia Array AG już wcześniej padały ofiarą krytycznych luk RCE. W listopadzie 2024 CISA dodała do katalogu KEV błąd CVE-2023-28461 (brak uwierzytelniania dla funkcji krytycznych), nakazując pilne łatanie. Osobno, w grudniu 2023 ujawniono CVE-2023-51707 w komponencie MotionPro (RCE przed 9.4.0.505). Obie historyczne luki pokazują, że bramy AG są atrakcyjnym celem i wymagają rygorystycznego zarządzania wersjami. Nowy, bieżący wektor (DesktopDirect) nie ma jeszcze przypisanego CVE.
Analiza techniczna / szczegóły luki
- Warunek: włączony DesktopDirect (zdalny dostęp do pulpitów).
- Wektor: wysyłka złośliwych żądań HTTP, które skutkują wstrzyknięciem komend po stronie urządzenia.
- Efekt:
- zapis pliku PHP webshell w
/ca/aproxy/webapp/, - tworzenie nowych kont administratora/użytkownika,
- użycie bramy jako przyczółka do dalszego ruchu lateralnego.
- zapis pliku PHP webshell w
- Artefakty & IOC: ruch z 194.233.100[.]138 wskazany przez JPCERT; atakujący używają średnika
;w ścieżkach URL (dlatego zalecana reguła filtrująca). - Wersje narażone: ArrayOS AG 9.4.5.8 i starsze; naprawa w 9.4.5.9.
Uwaga: Producent opublikował również w 2025 r. osobne ostrzeżenie o RCE w MotionPro (inny komponent/ścieżka naprawy, fix w 9.4.0.519, tymczasowe obejście:
vpn motionpro off). To inna podatność niż obecnie eksploatowana luka w DesktopDirect, ale podkreśla konieczność aktualizacji wszystkich gałęzi 9.x.
Praktyczne konsekwencje / ryzyko
- Utrata poufności i integralności: webshell na bramie VPN daje trwały dostęp do ruchu i konfiguracji.
- Ruch lateralny: brama SSL VPN często ma uprzywilejowaną pozycję w sieci.
- Trudna detekcja: restart urządzenia może wyczyścić logi, co utrudnia pełne dochodzenie.
- Ryzyko łańcuchowe: nielatane starsze błędy (np. CVE-2023-28461) mogą być łączone z nową luką.
Rekomendacje operacyjne / co zrobić teraz
- Natychmiastowa inwentaryzacja
Zidentyfikuj wszystkie bramy AG/vxAG i sprawdź wersję ArrayOS AG oraz stan DesktopDirect. - Aktualizacja oprogramowania
- Jeśli używasz gałęzi 9.4.5.x — zaktualizuj do 9.4.5.9 (wersja z poprawką wskazana przez JPCERT/CC).
- Zweryfikuj także starsze komponenty (np. MotionPro) i rozważ przejście na wydania z poprawkami (≥9.4.0.519 dla RCE w MotionPro; ≥9.4.0.505 wg NVD dla CVE-2023-51707).
- Obejścia (jeśli aktualizacja chwilowo niemożliwa)
- Wyłącz DesktopDirect (jeśli nieużywany).
- W URL filtering zablokuj dostęp do adresów zawierających
;.
- Hunting & IR (24–48h)
- Sprawdź, czy w
/ca/aproxy/webapp/nie pojawiły się pliki .php. - Przejrzyj listę kont pod kątem nieautoryzowanych użytkowników.
- Przeanalizuj logi sieciowe pod kątem ruchu z/do 194.233.100[.]138.
- Jeśli musisz zrestartować urządzenie (np. po aktualizacji), zabezpiecz logi wcześniej (JPCERT ostrzega o możliwej utracie dzienników).
- Sprawdź, czy w
- Twardnienie dostępu do VPN
- Ogranicz dostęp do panelu administracyjnego do zaufanych adresów IP.
- Wymuś MFA dla użytkowników zdalnych.
- Segmentuj sieć tak, aby brama nie była jedynym punktem wejścia do zasobów krytycznych. (Dobre praktyki uzupełniające do powyższych źródeł.)
Różnice / porównania z innymi przypadkami
- Obecna luka (DesktopDirect, 2025, brak CVE): aktywnie wykorzystywana w Japonii, specyficzne IOCs (path webshella, IP,
;w URL), fix 9.4.5.9. - CVE-2023-28461 (KEV, 2024): brak uwierzytelnienia dla funkcji krytycznych, szeroko nagłaśniana przez CISA; ogólne RCE na AG/vxAG ≤ 9.4.0.481.
- CVE-2023-51707 (MotionPro, 2023/2025): RCE w komponencie MotionPro; różne minimalne wersje naprawcze (NVD: ≥9.4.0.505; biuletyn Array: ≥9.4.0.519 dla konkretnego wydania), inny wektor niż DesktopDirect.
Podsumowanie / kluczowe wnioski
- Jeżeli używasz ArrayOS AG ≤ 9.4.5.8 i DesktopDirect jest aktywny, traktuj to jako incydent bezpieczeństwa z wysokim prawdopodobieństwem kompromitacji.
- Zaktualizuj do 9.4.5.9, wyłącz DesktopDirect jeśli nie jest wymagany i przeszukaj urządzenie pod kątem webshelli oraz fałszywych kont.
- Zweryfikuj także, czy wcześniejsze luki (CVE-2023-28461, CVE-2023-51707) są zamknięte — część środowisk AG 9.x może wymagać kilku aktualizacji w różnych gałęziach.
Źródła / bibliografia
- JPCERT/CC (03.12.2025): ostrzeżenie o aktywnej eksploatacji luki w Array AG (DesktopDirect), wersje podatne, IOCs, zalecenia (update do 9.4.5.9, wyłączenie DesktopDirect, filtr
;). (jpcert.or.jp) - BleepingComputer (04.12.2025): przegląd zdarzeń, potwierdzenie webshelli i kont rogue, streszczenie JPCERT. (BleepingComputer)
- CISA KEV (25.11.2024): wcześniejsza, niezależna luka CVE-2023-28461 na AG/vxAG — kontekst historyczny i wymóg łatania. (cisa.gov)
- NVD (CVE-2023-51707): RCE w MotionPro (inna luka), minimalne wersje naprawcze wg NVD. (NVD)
- Array Networks Security Advisory (09.2025): biuletyn producenta dla MotionPro RCE z fixem 9.4.0.519 i obejściem
vpn motionpro off— ważne dla pełnego twardnienia gałęzi 9.x. (support.arraynetworks.net)