Hackers are exploiting ArrayOS AG VPN flaw to plant webshells

Exploitation d’une faille VPN ArrayOS pour l’installation de webshells

Des acteurs malveillants exploitent une vulnérabilité d’injection de commande dans les appareils VPN Array AG Series. Ces attaques, actives depuis au moins août, permettent l’installation de “webshells” (logiciels malveillants permettant un accès distant non autorisé) et la création d’utilisateurs non autorisés. L’exploitation est menée depuis l’adresse IP 194.233.100[.]138.

Les versions affectées sont ArrayOS AG 9.4.5.8 et antérieures, spécifiquement pour les appliances matérielles et virtuelles de la série AG dotées de la fonction d’accès à distance “DesktopDirect”. Array Networks a corrigé la vulnérabilité dans une mise à jour de sécurité de mai, mais n’a pas attribué d’identifiant CVE.

Points Clés

• Cible : Appareils VPN Array AG Series utilisant ArrayOS.
• Méthode d’attaque : Injection de commande via la fonctionnalité “DesktopDirect”.
• Objectif des attaquants : Installer des webshells et créer des utilisateurs fantômes pour un accès persistant et non autorisé.
• Origine des attaques confirmées : Adresse IP 194.233.100[.]138.
• Notifications : Un avis du CERT japonais (JPCERT/CC) alerte sur ces exploitations.
• Portée : Des scans ont identifié plus de 1800 instances d’ArrayAG dans le monde, avec une concentration en Chine, au Japon et aux États-Unis. L’attention des acteurs de la sécurité en dehors de l’Asie est limitée.

Vulnérabilités

• Type : Injection de commande.
• Désignation : Non attribuée de CVE par Array Networks. La version corrigée est Array OS 9.4.5.9.

Recommandations

• Mise à jour : Appliquer la version Array OS 9.4.5.9 ou une version ultérieure.
• Contournement (si la mise à jour n’est pas immédiate) :
  • Désactiver tous les services “DesktopDirect” si la fonctionnalité n’est pas utilisée.
  • Utiliser un filtrage d’URL pour bloquer l’accès aux adresses contenant un point-virgule.

Source