CISA предупреждает об активной эксплуатации уязвимостей сетей критических массивов
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в понедельник добавило уже исправленную, но очень серьезную уязвимость, затрагивающую vxAG ArrayOS компании Array Networks AG, в свой каталог известных эксплуатируемых уязвимостей (KEV).
Этот шаг последовал за сообщениями об активной эксплуатации в дикой природе.
Уязвимость, обозначенная как CVE-2023-28461 и получившая рейтинг 9,8 по шкале CVSS, возникает из-за отсутствия аутентификации для критической уязвимости в vxAG ArrayOS, операционной системе, на которой работают SSL VPN-шлюзы Array AG и серии vxAG.
Успешная эксплуатация уязвимости может позволить злоумышленникам, не прошедшим проверку подлинности, получить доступ, потенциально ставя под угрозу конфиденциальные данные или всю сеть.
Это может создать значительные риски для государственных систем и частного сектора.
«Уязвимость удаленного выполнения кода Array AG/vxAG позволяет злоумышленникам просматривать файловую систему или выполнять удаленный код на шлюзе SSL VPN, используя атрибут флага в заголовках HTTP без аутентификации. Продукт можно использовать через уязвимый URL-адрес», — Array Networks. заявил на странице поддержки.
Эта уязвимость в основном затрагивает ArrayOS AG 9.4.0.481 и более ранние версии. Однако это не влияет на продукты серий AVX, APV, ASF и AG/vxAG (под управлением версий ArrayOS AG 10.x).
Компания Array Networks устранила эту ошибку, выпустив версию ArrayOS AG 9.4.0.484 в марте 2023 года.
Поставщик сетевого оборудования настоятельно рекомендует организациям немедленно обновить свои уязвимые устройства до этой версии.
Array Networks предоставила временные меры по смягчению последствий для организаций, которые не могут реализовать исправление немедленно.
Они включают в себя отключение таких функций, как Client Security, автоматическое обновление VPN-клиента и ресурсы пользователей портала, а также настройку правил черного списка для блокировки вредоносного трафика.
Более подробные инструкции по этим обходным путям доступны на портале поддержки Array Networks.
Свидетельства активного использования этой уязвимости побудили CISA поручить агентствам Федеральной гражданской исполнительной власти (FCEB) применить исправления к 16 декабря 2024 года, чтобы снизить риск.