米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は月曜日、Array Networks AGのvxAG ArrayOSに影響を与えるパッチは適用済みだが重大度の高い脆弱性を既知の悪用された脆弱性(KEV)カタログに追加した。
この動きは、実際の環境での活発な搾取の報告を受けてのものです。
この欠陥は、CVE-2023-28461 として特定され、CVSS スケールで 9.8 と評価されており、Array AG および vxAG シリーズ SSL VPN ゲートウェイを強化するオペレーティング システムである vxAG ArrayOS 内の重大な脆弱性に対する認証が欠落していることに起因します。
この欠陥の悪用に成功すると、認証されていない攻撃者がアクセスできるようになり、機密データやネットワーク全体が侵害される可能性があります。
これは政府システムや民間部門に重大なリスクをもたらす可能性があります。
「Array AG/vxAG のリモート コード実行の脆弱性により、攻撃者は認証なしで HTTP ヘッダーのフラグ属性を使用して、ファイル システムを参照したり、SSL VPN ゲートウェイ上でリモート コードを実行したりできます。この製品は脆弱な URL 経由で悪用される可能性があります」と Array Networks述べたサポートページにあります。
この脆弱性は主に ArrayOS AG 9.4.0.481 以前のバージョンに影響します。ただし、AVX、APV、ASF、および AG/vxAG (ArrayOS AG 10.x バージョンを実行) シリーズ製品には影響しません。
Array Networks は、2023 年 3 月の ArrayOS AG バージョン 9.4.0.484 のリリースでこの欠陥に対処しました。
ネットワーク ハードウェア ベンダーは、影響を受けるデバイスを直ちにこのバージョンに更新することを組織に強く推奨します。
アレイネットワークスは、修正をすぐに実装できない組織のために一時的な軽減措置を提供しました。
これには、クライアント セキュリティ、VPN クライアントの自動アップグレード、ポータル ユーザー リソースなどの機能の無効化と、悪意のあるトラフィックをブロックするブラックリスト ルールの設定が含まれます。
これらの回避策の詳細な手順は、Array Networks サポート ポータルで入手できます。
この脆弱性の積極的な悪用の証拠により、CISA はリスクを軽減するために、連邦文民行政府 (FCEB) 機関に対し、2024 年 12 月 16 日までにパッチを適用するよう義務付けました。
