Datum der Offenlegung: März 15, 2023
Datum der Meldung als aktiv ausgenutzt (Quelle): November 25, 2024
CVE-2023-28461 ist eine Schwachstelle in den SSL-VPN-Gateways der Serien AG und vxAG von Array Networks, die mit ArrayOS AG Version 9.4.0.481 und früher betrieben werden, durch die Remotecode ausgeführt werden kann. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, Remotecode auszuführen, indem sie ein bestimmtes Attribut in einem HTTP-Header ausnutzen und so das Dateisystem des SSL-VPN-Gateways durchsuchen können.
Jüngste Berichte weisen darauf hin, dass chinesische Bedrohungsakteure, insbesondere die als Earth Kasha (auch als MirrorFace bezeichnet) bekannte Gruppe, diese Schwachstelle aktiv ausnutzen. In der Vergangenheit hatten sie es auf hochrangige Organisationen im Hochtechnologie- und Regierungssektor in Japan, Taiwan und Indien abgesehen.
Die CISA hat CVE-2023-28461 in ihren Katalog der bekannten Sicherheitslücken aufgenommen und fordert Unternehmen auf, die erforderlichen Patches sofort anzuwenden. Darüber hinaus hat Array Networks Site-Befehle zur Verfügung gestellt, die verwendet werden können, um diese Schwachstelle zu entschärfen in diesem Hinweis.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2023-28461 - CVSS 9.8 (kritisch) - zugewiesen von NVD |
| Schwachstelle Beschreibung |
Array Networks Array AG Series und vxAG (9.4.0.481 und früher) ermöglichen die Ausführung von Remotecode. Ein Angreifer kann das Dateisystem auf dem SSL-VPN-Gateway mithilfe eines Flags-Attributs in einem HTTP-Header ohne Authentifizierung durchsuchen. Das Produkt kann dann über eine anfällige URL ausgenutzt werden. |
| Datum der Offenlegung |
März 15, 2023 |
| Betroffene Vermögenswerte |
Array Networks Array AG Serie und vxAG mit der verwundbaren Version von Array OS AG. |
| Anfällige Software-Versionen |
ArrayOS AG 9.4.0.481 und frühere Versionen. |
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Berichts war kein PoC verfügbar. |
| Verwertungsstatus |
Diese Sicherheitslücke wurde am 25. November 2024 in die CISA KEV aufgenommen. Trend Micro berichtet, dass diese Sicherheitslücke von Earth Kasha ausgenutzt wurde. |
| Patch-Status |
Array Networks hat einen Sicherheitshinweis Hinweis mit Patches, die zum Download zur Verfügung stehen, und Website-Befehlen, mit denen die Schwachstelle behoben werden kann. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 3,427 routbare VPNs der Array Networks AG/vxAG-Serie online. Ein Drittel davon (33%) sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle diese Systeme verwundbar sind, da keine spezifischen Versionen verfügbar sind.
Während wir beobachtet haben 3,427 VPN-Geräte der Array Networks AG/vxAG-Serie, aber eine weitere Analyse ergab, dass die große Mehrheit dieser Hosts HTTP-Statuscodes wie 403 Verboten oder 502 Schlechtes Gatewayzurückgaben, was darauf hinweist, dass der Zugriff blockiert und nicht vollständig freigegeben war.
Karte der öffentlich routbaren VPNs der Array Networks AG/vxAG-Serie:
Censys Search Abfrage:
services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR services.http.response.html_tags:'*AG_PROXY_ID*'
Censys ASM-Abfrage:
host.services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR host.services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR host.services.http.response.html_tags:'*AG_PROXY_ID*'
Referenzen
