美國網路安全和基礎設施安全局 (CISA) 週一在其已知利用漏洞 (KEV) 目錄中添加了一個現已修補的高嚴重性漏洞,影響 Array Networks AG 的 vxAG ArrayOS。
此舉是在有報道稱在野外進行積極開發之後採取的。
此漏洞的編號為 CVE-2023-28461,CVSS 評分為 9.8,是由於 vxAG ArrayOS 中的一個關鍵漏洞缺少身份驗證造成的,vxAG ArrayOS 是為 Array AG 和 vxAG 系列 SSL VPN 閘道提供支援的作業系統。
成功利用該缺陷可能會讓未經身份驗證的攻擊者獲得存取權限,從而可能危及敏感資料或整個網路。
這可能會給政府系統和私營部門帶來重大風險。
「Array AG/vxAG 遠端程式碼執行漏洞使攻擊者無需身份驗證即可使用 HTTP 標頭中的標誌屬性瀏覽檔案系統或在 SSL VPN 閘道上執行遠端程式碼。該產品可以透過易受攻擊的 URL 被利用”,Array Networks指出在支援頁面中。
此漏洞主要影響ArrayOS AG 9.4.0.481及之前版本。不過,它不會影響 AVX、APV、ASF 和 AG/vxAG(運行 ArrayOS AG 10.x 版本)系列產品。
Array Networks 於 2023 年 3 月發布了 ArrayOS AG 版本 9.4.0.484,解決了這個缺陷。
網路硬體供應商強烈建議組織立即將受影響的裝置更新至此版本。
Array Networks 為無法立即實施修復的組織提供了臨時緩解措施。
其中涉及停用客戶端安全性、VPN 用戶端自動升級和入口網站使用者資源等功能,以及設定黑名單規則以阻止惡意流量。
有關這些解決方法的更詳細說明可在 Array Networks 支援入口網站上找到。
有證據表明,該漏洞被積極利用,CISA 要求聯邦民事行政部門 (FCEB) 機構在 2024 年 12 月 16 日之前應用補丁,以降低風險。
