美國網絡安全和基礎設施安全局 (CISA) 週一在其已知利用漏洞 (KEV) 目錄中添加了一個現已修補的高嚴重性漏洞,影響 Array Networks AG 的 vxAG ArrayOS。
此舉是在有報導稱在野外進行積極開發之後採取的。
該漏洞的編號為 CVE-2023-28461,CVSS 評分為 9.8,是由於 vxAG ArrayOS 中的一個關鍵漏洞缺少身份驗證造成的,vxAG ArrayOS 是為 Array AG 和 vxAG 系列 SSL VPN 網關提供支持的操作系統。
成功利用該缺陷可能會讓未經身份驗證的攻擊者獲得訪問權限,從而可能危及敏感數據或整個網絡。
這可能會給政府系統和私營部門帶來重大風險。
“Array AG/vxAG 遠程代碼執行漏洞使攻擊者能夠在無需身份驗證的情況下使用 HTTP 標頭中的標誌屬性瀏覽文件系統或在 SSL VPN 網關上執行遠程代碼。該產品可通過易受攻擊的 URL 被利用”,Array Networks指出在支持頁面中。
該漏洞主要影響ArrayOS AG 9.4.0.481及之前版本。不過,它不會影響 AVX、APV、ASF 和 AG/vxAG(運行 ArrayOS AG 10.x 版本)系列產品。
Array Networks 於 2023 年 3 月發布了 ArrayOS AG 版本 9.4.0.484,解決了該缺陷。
網絡硬件供應商強烈建議組織立即將受影響的設備更新到此版本。
Array Networks 為無法立即實施修復的組織提供了臨時緩解措施。
其中涉及禁用客戶端安全、VPN 客戶端自動升級和門戶用戶資源等功能,以及設置黑名單規則以阻止惡意流量。
有關這些解決方法的更詳細說明可在 Array Networks 支持門戶上找到。
有證據表明,該漏洞被積極利用,CISA 要求聯邦民事行政部門 (FCEB) 機構在 2024 年 12 月 16 日之前應用補丁,以降低風險。
![2025 年 11 款最佳遊戲 DNS 伺服器 [ 最快 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/dnsserversforgamingcover.jpg)
