JPCERT xác nhận các cuộc tấn công tiêm lệnh chủ động vào các cổng AG mảng

[T-X]

Theo cảnh báo do JPCERT/CC đưa ra trong tuần này, lỗ hổng tiêm lệnh trong các cổng truy cập an toàn của Array Networks AG Series đã bị khai thác trên thực tế kể từ tháng 8 năm 2025.

Lỗ hổng bảo mật không có mã định danh CVE này đã được công ty giải quyết vào ngày 11 tháng 5 năm 2025. Lỗ hổng bắt nguồn từ DesktopDirect của Array, một giải pháp truy cập máy tính từ xa cho phép người dùng truy cập an toàn vào máy tính làm việc của họ từ mọi vị trí.

"Việc khai thác lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý", JPCERT/CC cho biết. "Lỗ hổng này ảnh hưởng đến các hệ thống có bật tính năng 'DesktopDirect', tính năng cung cấp quyền truy cập máy tính từ xa."

Cơ quan này cho biết họ đã xác nhận các sự cố tại Nhật Bản đã khai thác lỗ hổng này sau tháng 8 năm 2025 để cài mã độc web shell vào các thiết bị dễ bị tấn công. Các cuộc tấn công này bắt nguồn từ địa chỉ IP " 194.233.100[.]138."

Hiện tại vẫn chưa có thông tin chi tiết nào về quy mô của các cuộc tấn công, việc lợi dụng lỗ hổng và danh tính của những kẻ đe dọa đang khai thác lỗ hổng này.

Tuy nhiên, một lỗ hổng bỏ qua xác thực trong cùng sản phẩm ( CVE-2023-28461, điểm CVSS: 9,8) đã bị một nhóm gián điệp mạng có liên hệ với Trung Quốc có tên MirrorFace khai thác vào năm ngoái. Nhóm này có tiền sử nhắm mục tiêu vào các tổ chức Nhật Bản kể từ ít nhất năm 2019. Tuy nhiên, không có bằng chứng nào cho thấy ở giai đoạn này, tác nhân đe dọa này có thể liên quan đến loạt tấn công mới nhất.

Lỗ hổng này ảnh hưởng đến ArrayOS phiên bản 9.4.5.8 trở về trước và đã được khắc phục trong phiên bản ArrayOS 9.4.5.9. Người dùng được khuyến cáo nên cập nhật bản cập nhật mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn. Trong trường hợp việc vá lỗi không phải là giải pháp tức thời, JPCERT/CC khuyến nghị nên tắt dịch vụ DesktopDirect và sử dụng tính năng lọc URL để từ chối truy cập vào các URL có chứa dấu chấm phẩy.