日本電腦緊急應變小組協調中心(JPCERT/CC)本週發布緊急警告,指出駭客自今年 8 月起就在積極利用 Array Networks AG Series VPN 設備的命令注入漏洞在受害系統中植入 webshell 並建立惡意帳戶。雖然 Array Networks 已在 5 月發布修補程式,但該漏洞並未獲得 CVE 編號,加上攻擊活動持續進行,使得企業面臨嚴峻的資安風險。
根據 JPCERT/CC 的公告,該漏洞存在於 Array Networks AG Series 安全存取閘道設備中,影響 ArrayOS AG 9.4.5.8 及更早版本。駭客透過漏洞執行任意命令,在受害系統的
/ca/aproxy/webapp/ 路徑下植入 PHP webshell 檔案,取得系統控制權。
JPCERT/CC 證實,攻擊活動自 8 月起就已在日本境內發生,所有已確認的攻擊均來自 IP 位址
194.233.100[.]138,該 IP 同時也被用於後續的C2通訊。資安研究人員 Yutaka Sejiyama 表示,由於 Array AG 產品的使用者主要集中在亞洲,且觀察到的攻擊多發生在日本,因此日本以外的資安廠商和組織並未給予足夠關注。
Macnica 資安研究員 Yutaka Sejiyama 透過掃描發現,全球共有 1831 台 Array AG 設備曝露於網際網路上,主要分布在中國、日本和美國。研究人員確認至少 11 台主機啟用了存在漏洞的 DesktopDirect 遠端桌面存取功能,但實際啟用該功能的設備數量可能更多。
Array Networks AG Series 是一系列採用 SSL VPN 技術的安全存取閘道,透過建立加密通道讓使用者遠端存取企業網路、應用程式、桌面和雲端資源。這類設備通常部署在大型組織和企業環境中,用於支援遠端或行動辦公需求,一旦遭到入侵,攻擊者便能深入企業內網。
考量到台灣許多大型企業也使用 Array Networks 產品提供遠端存取服務,資安專家呼籲台灣組織應立即檢查是否使用受影響版本,並評估自身的風險暴露程度。
漏洞無 CVE 編號,增加管理困難
雖然 Array Networks 在 5 月 11 日發布的安全更新中修補了這個漏洞,但該公司並未指派 CVE 識別碼,也未發布正式的資安公告。這種做法使得企業難以透過標準的漏洞管理流程追蹤和優先處理修補工作,也讓資安團隊更難評估風險等級。
立即採取的防護措施
JPCERT/CC 強烈建議使用 Array AG Series 設備的組織立即採取以下行動:
- 立即更新:將 ArrayOS 升級至 9.4.5.9 版本或更新版本,這是最根本的解決方案。
- 暫時緩解措施(若無法立即更新):
- 如果未使用 DesktopDirect 功能,應停用所有 DesktopDirect 服務
- 使用 URL 過濾功能封鎖包含分號(semicolon)的 URL 存取威脅檢測:檢查系統的 /ca/aproxy/webapp/ 路徑是否存在可疑的 PHP webshell 檔案,並審查是否有未經授權建立的使用者帳戶。同時應檢查是否有來自 IP 位址 194.233.100[.]138 的連線記錄。
- 日誌分析:全面檢視存取日誌和系統日誌,尋找異常活動跡象,特別是在 8 月之後的時間範圍。
Array 設備再成攻擊目標
這並非 Array Networks 產品首次成為駭客攻擊目標。去年美國網路安全暨基礎設施安全局(CISA)曾警告,CVE-2023-28461 這個 Array Networks AG 和 vxAG ArrayOS 的重大遠端程式碼執行漏洞(CVSS 評分 9.8)已遭到利用。該漏洞後來被證實遭到中國駭客組織 MirrorFace 利用,該組織至少自 2019 年起就持續鎖定日本組織進行網路間諜活動。
雖然目前尚無證據顯示此次攻擊與特定 APT 組織有關,但 VPN 設備作為企業網路邊界的關鍵防線,持續成為駭客的重點攻擊目標。資安專家建議企業除了及時修補漏洞外,更應建立完整的邊界設備監控機制,並定期進行資安健檢。