Date de divulgation : 15 mars 2023
Date de déclaration d'exploitation active (source) : 25 novembre 2024
CVE-2023-28461 est une vulnérabilité d'exécution de code à distance dans les passerelles VPN SSL des séries AG et vxAG d'Array Networks utilisant les versions 9.4.0.481 et antérieures d'ArrayOS AG. Cette faille permet à des attaquants non authentifiés d'exécuter du code à distance en exploitant un attribut spécifique dans un en-tête HTTP, ce qui leur permet de parcourir le système de fichiers sur la passerelle VPN SSL.
Rapports Des rapports indiquent que des acteurs chinois, notamment le groupe connu sous le nom de Earth Kasha (également appelé MirrorFace), exploitent activement cette vulnérabilité. Ils ont toujours ciblé des organisations de premier plan dans les secteurs de la technologie de pointe et du gouvernement au Japon, à Taïwan et en Inde.
La CISA a ajouté CVE-2023-28461 à son catalogue de vulnérabilités connues et exploitées, et invite les organisations à appliquer immédiatement les correctifs nécessaires. En outre, Array Networks a partagé des commandes de site qui peuvent être utilisées pour atténuer cette vulnérabilité dans cet avis.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2023-28461 - CVSS 9.8 (critique) - attribué par NVD |
| Description de la vulnérabilité |
Les produits Array Networks Array AG Series et vxAG (9.4.0.481 et antérieurs) permettent l'exécution de code à distance. Un attaquant peut parcourir le système de fichiers sur la passerelle VPN SSL en utilisant un attribut flags dans un en-tête HTTP sans authentification. Le produit peut alors être exploité à travers une URL vulnérable. |
| Date de la divulgation |
15 mars 2023 |
| Actifs touchés |
Array Networks Array AG Series et vxAG utilisant la version vulnérable d'Array OS AG. |
| Versions de logiciels vulnérables |
ArrayOS AG 9.4.0.481 et versions antérieures. |
| PoC disponible ? |
Aucun PoC n'était disponible au moment de la rédaction du présent document. |
| Statut d'exploitation |
Cette vulnérabilité a été ajoutée à CISA KEV le 25 novembre 2024. Trend Micro a signalé que cette vulnérabilité a été exploitée dans la nature par Earth Kasha. |
| Statut du patch |
Array Networks a publié un avis de sécurité avis de sécurité avec des correctifs disponibles en téléchargement et des commandes de site qui peuvent être utilisées pour atténuer la vulnérabilité. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 3,427 VPN routables de la série Array Networks AG/vxAG en ligne. Un tiers d'entre eux (33%) sont géolocalisés aux États-Unis. Il convient de noter que tous ces réseaux ne sont pas nécessairement vulnérables, car les versions spécifiques ne sont pas disponibles.
Bien que nous ayons observé 3,427 dispositifs VPN de la série AG/vxAG d'Array Networks, une analyse plus poussée a révélé que la grande majorité de ces hôtes renvoyaient des codes d'état HTTP tels que 403 Interdit ou 502 Bad Gatewayindiquant que l'accès était bloqué plutôt que totalement exposé.
Carte des VPN de la série AG/vxAG d'Array Networks accessibles au public :
Censys Requête de recherche :
services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR services.http.response.html_tags:'*AG_PROXY_ID*'
Censys Requête ASM :
host.services.http.response.headers: (key: 'Set-Cookie' and value.headers:'*ANsession*') OR host.services.tls.certificates.leaf_data.issuer.organizational_unit="AG Product" OR host.services.http.response.html_tags:'*AG_PROXY_ID*'
Références
