Hakerzy wykorzystują nową lukę w ArrayOS AG VPN do podkładania webshelli — co muszą zrobić zespoły SOC

Wprowadzenie do problemu / definicja luki

JPCERT/CC ostrzega, iż co najmniej od sierpnia 2025 r. aktywni napastnicy wykorzystują nienazwaną jeszcze (bez CVE) podatność typu command injection w Array AG Series (ArrayOS AG), aby instalować webshelle i zakładać fałszywe konta na bramach SSL VPN. Luka dotyczy instalacji z włączonym modułem DesktopDirect; producent wydał poprawkę w maju 2025 r. (ArrayOS AG 9.4.5.9), ale wiele urządzeń pozostaje niezałatanych.

W skrócie

• Dotyczy: Array AG/vxAG z ArrayOS AG ≤ 9.4.5.8, gdy DesktopDirect jest włączony.
• Wykorzystanie: wstrzyknięcie komend (command injection) prowadzące do webshelli w katalogu /ca/aproxy/webapp/ i tworzenia nowych użytkowników.
• Eksploatacja obserwowana od: 08.2025; ostrzeżenie JPCERT/CC z 03.12.2025.
• Poprawka: ArrayOS AG 9.4.5.9 (zalecana aktualizacja) + obejścia (wyłączenie DesktopDirect, filtr URL blokujący średnik ;).
• IOC: ruch z 194.233.100[.]138.

Kontekst / historia / powiązania

Urządzenia Array AG już wcześniej padały ofiarą krytycznych luk RCE. W listopadzie 2024 CISA dodała do katalogu KEV błąd CVE-2023-28461 (brak uwierzytelniania dla funkcji krytycznych), nakazując pilne łatanie. Osobno, w grudniu 2023 ujawniono CVE-2023-51707 w komponencie MotionPro (RCE przed 9.4.0.505). Obie historyczne luki pokazują, iż bramy AG są atrakcyjnym celem i wymagają rygorystycznego zarządzania wersjami. Nowy, bieżący wektor (DesktopDirect) nie ma jeszcze przypisanego CVE.

Analiza techniczna / szczegóły luki

• Warunek: włączony DesktopDirect (zdalny dostęp do pulpitów).
• Wektor: wysyłka złośliwych żądań HTTP, które skutkują wstrzyknięciem komend po stronie urządzenia.
• Efekt:
  • zapis pliku PHP webshell w /ca/aproxy/webapp/,
  • tworzenie nowych kont administratora/użytkownika,
  • użycie bramy jako przyczółka do dalszego ruchu lateralnego.
• Artefakty & IOC: ruch z 194.233.100[.]138 wskazany przez JPCERT; atakujący używają średnika ; w ścieżkach URL (dlatego zalecana reguła filtrująca).
• Wersje narażone: ArrayOS AG 9.4.5.8 i starsze; naprawa w 9.4.5.9.

Uwaga: Producent opublikował również w 2025 r. osobne ostrzeżenie o RCE w MotionPro (inny komponent/ścieżka naprawy, fix w 9.4.0.519, tymczasowe obejście: vpn motionpro off). To inna podatność niż w tej chwili eksploatowana luka w DesktopDirect, ale podkreśla konieczność aktualizacji wszystkich gałęzi 9.x.

Praktyczne konsekwencje / ryzyko

• Utrata poufności i integralności: webshell na bramie VPN daje trwały dostęp do ruchu i konfiguracji.
• Ruch lateralny: brama SSL VPN często ma uprzywilejowaną pozycję w sieci.
• Trudna detekcja: restart urządzenia może wyczyścić logi, co utrudnia pełne dochodzenie.
• Ryzyko łańcuchowe: nielatane starsze błędy (np. CVE-2023-28461) mogą być łączone z nową luką.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa inwentaryzacja
   Zidentyfikuj wszystkie bramy AG/vxAG i sprawdź wersję ArrayOS AG oraz stan DesktopDirect.
2. Aktualizacja oprogramowania
   • Jeśli używasz gałęzi 9.4.5.x — zaktualizuj do 9.4.5.9 (wersja z poprawką wskazana przez JPCERT/CC).
   • Zweryfikuj także starsze komponenty (np. MotionPro) i rozważ przejście na wydania z poprawkami (≥9.4.0.519 dla RCE w MotionPro; ≥9.4.0.505 wg NVD dla CVE-2023-51707).
3. Obejścia (jeśli aktualizacja chwilowo niemożliwa)
   • Wyłącz DesktopDirect (jeśli nieużywany).
   • W URL filtering zablokuj dostęp do adresów zawierających ;.
4. Hunting & IR (24–48h)
   • Sprawdź, czy w /ca/aproxy/webapp/ nie pojawiły się pliki .php.
   • Przejrzyj listę kont pod kątem nieautoryzowanych użytkowników.
   • Przeanalizuj logi sieciowe pod kątem ruchu z/do 194.233.100[.]138.
   • Jeśli musisz zrestartować urządzenie (np. po aktualizacji), zabezpiecz logi wcześniej (JPCERT ostrzega o możliwej utracie dzienników).
5. Twardnienie dostępu do VPN
   • Ogranicz dostęp do panelu administracyjnego do zaufanych adresów IP.
   • Wymuś MFA dla użytkowników zdalnych.
   • Segmentuj sieć tak, aby brama nie była jedynym punktem wejścia do zasobów krytycznych. (Dobre praktyki uzupełniające do powyższych źródeł.)

Różnice / porównania z innymi przypadkami

• Obecna luka (DesktopDirect, 2025, brak CVE): aktywnie wykorzystywana w Japonii, specyficzne IOCs (path webshella, IP, ; w URL), fix 9.4.5.9.
• CVE-2023-28461 (KEV, 2024): brak uwierzytelnienia dla funkcji krytycznych, szeroko nagłaśniana przez CISA; ogólne RCE na AG/vxAG ≤ 9.4.0.481.
• CVE-2023-51707 (MotionPro, 2023/2025): RCE w komponencie MotionPro; różne minimalne wersje naprawcze (NVD: ≥9.4.0.505; biuletyn Array: ≥9.4.0.519 dla konkretnego wydania), inny wektor niż DesktopDirect.

Podsumowanie / najważniejsze wnioski

• Jeżeli używasz ArrayOS AG ≤ 9.4.5.8 i DesktopDirect jest aktywny, traktuj to jako incydent bezpieczeństwa z wysokim prawdopodobieństwem kompromitacji.
• Zaktualizuj do 9.4.5.9, wyłącz DesktopDirect jeżeli nie jest wymagany i przeszukaj urządzenie pod kątem webshelli oraz fałszywych kont.
• Zweryfikuj także, czy wcześniejsze luki (CVE-2023-28461, CVE-2023-51707) są zamknięte — część środowisk AG 9.x może wymagać kilku aktualizacji w różnych gałęziach.

Źródła / bibliografia

1. JPCERT/CC (03.12.2025): ostrzeżenie o aktywnej eksploatacji luki w Array AG (DesktopDirect), wersje podatne, IOCs, zalecenia (update do 9.4.5.9, wyłączenie DesktopDirect, filtr ;). (jpcert.or.jp)
2. BleepingComputer (04.12.2025): przegląd zdarzeń, potwierdzenie webshelli i kont rogue, streszczenie JPCERT. (BleepingComputer)
3. CISA KEV (25.11.2024): wcześniejsza, niezależna luka CVE-2023-28461 na AG/vxAG — kontekst historyczny i wymóg łatania. (cisa.gov)
4. NVD (CVE-2023-51707): RCE w MotionPro (inna luka), minimalne wersje naprawcze wg NVD. (NVD)
5. Array Networks Security Advisory (09.2025): biuletyn producenta dla MotionPro RCE z fixem 9.4.0.519 i obejściem vpn motionpro off — ważne dla pełnego twardnienia gałęzi 9.x. (support.arraynetworks.net)