เมื่อวันจันทร์ที่ผ่านมา หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ที่ได้รับการแพตช์แล้ว แต่มีความรุนแรงสูง ซึ่งส่งผลกระทบต่อ vxAG ArrayOS ของ Array Networks AG ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV)
การเคลื่อนไหวดังกล่าวเป็นไปตามรายงานการแสวงหาผลประโยชน์อย่างแข็งขันในป่า
ข้อบกพร่องดังกล่าวระบุเป็น CVE-2023-28461 และได้เรตติ้ง 9.8 ในระดับ CVSS เกิดขึ้นจากการตรวจสอบสิทธิ์ที่ขาดหายไปสำหรับช่องโหว่ที่สำคัญภายใน vxAG ArrayOS ซึ่งเป็นระบบปฏิบัติการที่ขับเคลื่อนเกตเวย์ SSL VPN ของ Array AG และ vxAG
การใช้ประโยชน์จากข้อบกพร่องที่ประสบความสำเร็จอาจทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเข้าถึงข้อมูลที่สำคัญหรือเครือข่ายทั้งหมดได้
ซึ่งอาจก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อระบบภาครัฐและภาคเอกชน
“ช่องโหว่การเรียกใช้โค้ดระยะไกล Array AG/vxAG ช่วยให้ผู้โจมตีสามารถเรียกดูระบบไฟล์หรือรันโค้ดระยะไกลบนเกตเวย์ SSL VPN โดยใช้แอตทริบิวต์แฟล็กในส่วนหัว HTTP โดยไม่มีการตรวจสอบสิทธิ์ ผลิตภัณฑ์สามารถถูกโจมตีผ่าน URL ที่มีช่องโหว่” Array Networksระบุไว้ในหน้าสนับสนุน
ช่องโหว่นี้ส่งผลกระทบต่อ ArrayOS AG 9.4.0.481 และเวอร์ชันก่อนหน้าเป็นหลัก อย่างไรก็ตาม จะไม่ส่งผลกระทบต่อผลิตภัณฑ์ซีรีส์ AVX, APV, ASF และ AG/vxAG (ที่ใช้งาน ArrayOS AG 10.x)
Array Networks แก้ไขข้อบกพร่องด้วยการเปิดตัว ArrayOS AG เวอร์ชัน 9.4.0.484 ในเดือนมีนาคม 2023
ผู้จำหน่ายฮาร์ดแวร์เครือข่ายขอแนะนำอย่างยิ่งให้องค์กรอัปเดตอุปกรณ์ที่ได้รับผลกระทบเป็นเวอร์ชันนี้ทันที
Array Networks ได้จัดให้มีมาตรการบรรเทาผลกระทบชั่วคราวสำหรับองค์กรที่ไม่สามารถดำเนินการแก้ไขได้ทันที
สิ่งเหล่านี้เกี่ยวข้องกับการปิดใช้งานฟังก์ชันต่างๆ เช่น ความปลอดภัยของไคลเอ็นต์ การอัปเกรดอัตโนมัติของไคลเอ็นต์ VPN และทรัพยากรผู้ใช้พอร์ทัล พร้อมกับการตั้งค่ากฎบัญชีดำเพื่อบล็อกการรับส่งข้อมูลที่เป็นอันตราย
คำแนะนำโดยละเอียดเพิ่มเติมสำหรับวิธีแก้ปัญหาเหล่านี้มีอยู่ที่พอร์ทัลสนับสนุน Array Networks
หลักฐานของการใช้ประโยชน์จากช่องโหว่นี้ทำให้ CISA มอบหมายให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ปรับใช้แพตช์ภายในวันที่ 16 ธันวาคม 2024 เพื่อลดความเสี่ยง
