出典: Security NEXT – https://www.security-next.com/177930
「Array AG」にCVE未採番の脆弱性 – 8月に国内で悪用被害
「Array AG」にCVE未採番の脆弱性 – 8月に国内で悪用被害
Array Networksのリモートアクセス製品「Array AGシリーズ」の脆弱性が悪用されているとして、JPCERTコーディネーションセンターが注意喚起を行った。2025年5月のアップデートで解消されたが、CVE番号は採番されておらず、関係者に脆弱性のリスクに関する情報が十分行き渡っていないおそれもある。
組織内部ネットワークの端末に対して外部よりリモートデスクトップアクセスが可能となる「DesktopDirect」機能を有効化している場合に、任意のコマンドが実行できるコマンドインジェクションの脆弱性が存在。2025年8月以降、国内において悪用が確認されているとして注意喚起を行ったもの。
具体的には、機器上にPHPベースの「ウェブシェル」が設置されたほか、新規ユーザーの作成、内部ネットワークへの侵入など、攻撃に脆弱性が悪用されたという。
問題の脆弱性はファームウェア「ArrayOS AG 9.4.5.8」および以前のバージョンに存在。2025年5月にリリースされた「同9.4.5.9」にて修正され、回避策も存在す
