Fecha de divulgación: 15 de marzo de 2023
Fecha en la que se comunicó la explotación activa (fuente): 25 de noviembre de 2024
CVE-2023-28461 es una vulnerabilidad de ejecución remota de código en las puertas de enlace SSL VPN de las series AG y vxAG de Array Networks que ejecutan las versiones 9.4.0.481 y anteriores de ArrayOS AG. Este defecto permite a los atacantes no autenticados ejecutar código remoto mediante la explotación de un atributo específico en un encabezado HTTP, lo que les permite navegar por el sistema de archivos en la puerta de enlace VPN SSL.
Informes recientes de informes indican que agentes de amenazas chinos, en particular el grupo conocido como Earth Kasha (también conocido como MirrorFace), han estado explotando activamente esta vulnerabilidad. Históricamente se han dirigido a organizaciones de alto perfil en los sectores de la tecnología avanzada y el gobierno en Japón, Taiwán y la India.
CISA ha añadido CVE-2023-28461 a su catálogo de Vulnerabilidades Explotadas Conocidas, instando a las organizaciones a aplicar los parches necesarios inmediatamente. Además, Array Networks ha compartido comandos de sitio que pueden utilizarse para mitigar esta vulnerabilidad en este aviso.
| Campo |
Detalles |
| CVE-ID |
CVE-2023-28461 - CVSS 9.8 (crítico) - asignado por NVD |
| Descripción de la vulnerabilidad |
Array Networks Array AG Series y vxAG (9.4.0.481 y anteriores) permiten la ejecución remota de código. Un atacante puede explorar el sistema de archivos en la puerta de enlace VPN SSL utilizando un atributo flags en un encabezado HTTP sin autenticación. El producto podría entonces ser explotado a través de una URL vulnerable. |
| Fecha de divulgación |
15 de marzo de 2023 |
| Activos afectados |
Array Networks Array AG Series y vxAG que ejecutan la versión vulnerable de Array OS AG. |
| Versiones de software vulnerables |
ArrayOS AG 9.4.0.481 y versiones anteriores. |
| ¿PoC disponible? |
En el momento de redactar este informe no se disponía de ningún PdC. |
| Estado de explotación |
Esta vulnerabilidad se añadió a CISA KEV el 25 de noviembre de 2024. Trend Micro informó de que esta vulnerabilidad ha sido explotada in the wild por Earth Kasha. |
| Estado del parche |
Array Networks publicó un aviso de seguridad de seguridad con parches disponibles para su descarga y comandos del sitio que pueden utilizarse para mitigar la vulnerabilidad. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 3,427 VPN enrutables de la serie AG/vxAG de Array Networks en línea. Un tercio de ellas (33%) están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas ellas son necesariamente vulnerables, ya que no se dispone de versiones específicas.
Aunque observamos 3,427 dispositivos VPN de la serie AG/vxAG de Array Networks, un análisis más detallado reveló que la gran mayoría de estos hosts devolvían códigos de estado HTTP como 403 Prohibido o 502 Puerta de enlace incorrectalo que indica que el acceso estaba bloqueado en lugar de totalmente expuesto.
Mapa de redes VPN de enrutamiento público de la serie AG/vxAG de Array Networks:
Censys Consulta de búsqueda:
services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR services.http.response.html_tags:'*AG_PROXY_ID*'
Censys Consulta ASM:
host.services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR host.services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR host.services.http.response.html_tags:'*AG_PROXY_ID*'
Referencias
