Japánt támadják leginkább
A japán számítógépes vészhelyzeti csapat (CERT) jelentése szerint a támadások legalább augusztus óta folynak, főként japán szervezetek ellen. A támadások a 194.233.100.138 IP-címről indulnak, és több alkalommal is ugyaninnen próbáltak PHP-webshell fájlt elhelyezni a /ca/aproxy/webapp/ útvonalra. Ez a sérülékenység az ArrayOS AG 9.4.5.8-as vagy korábbi verzióit érinti, valamint minden olyan hardveres és virtuális AG Series eszközt, amelyen a “DesktopDirect” távoli elérést engedélyezték.
A védekezés lépései
Az Array Networks frissítésével elhárítható a veszély; ha pedig ez nem lehetséges, érdemes kikapcsolni a DesktopDirect szolgáltatást (ha nincs használatban), illetve URL-szűréssel blokkolni a pontosvesszőt tartalmazó URL-eket. Az AG Series eszközcsalád főként nagyvállalatoknál van jelen, hiszen ezek az SSL VPN-ek a biztonságos távoli hozzáférést támogatják.
Egyre nő a veszély
Egy biztonsági kutató globális keresése során 1831 Array AG eszközt talált, főleg Kínában, Japánban és az Egyesült Államokban, ezek közül legalább 11 esetében biztosan aktív a DesktopDirect funkció. A valódi szám azonban ennél jóval magasabb lehet. Mivel az áldozatok leginkább Ázsiában találhatók, a világ más részein kevésbé figyelnek fel a veszélyre. Tavaly egy másik, kritikus távoli kódfuttatási sérülékenységet is kihasználtak az ArrayOS-t futtató AG és vxAG rendszerekben.
