Amerika Siber Savunma Ajansı, bilgisayar korsanlarının SSL VPN ürünleri Array Networks AG ve vxAG ArrayOS’taki uzaktan kod yürütme güvenlik açığından aktif olarak yararlandığına dair kanıtlar aldı.
Güvenlik sorunu CVE-2023-28461 olarak izleniyor ve kritik 9,8 ciddiyet puanına sahip ve kurum bunu Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna dahil ediyor.
Bu hata, savunmasız bir URL aracılığıyla istismar edilebilir ve Array AG Serisi ile vxAG sürüm 9.4.0.481 ve önceki sürümlerde uzaktan kod yürütülmesine izin veren uygunsuz bir kimlik doğrulama sorunudur.
“(CVE-2023-28461) […] Bir saldırganın kimlik doğrulaması olmadan HTTP üstbilgisindeki flags özelliğini kullanarak dosya sistemine göz atmasına veya SSL VPN ağ geçidinde uzaktan kod yürütmesine olanak tanıyan bir web güvenlik açığı” diyor satıcı bir güvenlik bülteninde.
Kusur geçen yıl 9 Mart’ta açıklandı ve Array Networks, yaklaşık bir hafta sonra Array AG’nin 9.4.0.484 sürümünün yayınlanmasıyla hatayı düzeltti.
Array Networks AG Serisi (donanım cihazları) ve vxAG Serisi (sanal cihazlar), kurumsal ağlara, kurumsal uygulamalara ve bulut hizmetlerine güvenli uzaktan ve mobil erişim sunan SSL VPN ürünleridir.
Satıcıya göre bunlar, işletmeler, hizmet sağlayıcılar ve devlet kurumları da dahil olmak üzere dünya çapında 5.000’den fazla müşteri tarafından kullanılıyor.
CISA, güvenlik açığından kimin yararlandığına ve hedeflenen kuruluşlara ilişkin herhangi bir ayrıntı vermedi ancak bunu “aktif istismar kanıtlarına dayanarak” Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna ekledi.
Ajans, tüm federal kurumların ve kritik altyapı kuruluşlarının ya güvenlik güncellemelerini ve mevcut hafifletici önlemleri 16 Aralık’a kadar uygulamalarını ya da ürünü kullanmayı bırakmalarını tavsiye ediyor.
Etkilenen ürünlere ilişkin güvenlik güncellemelerine Array destek portalından ulaşılabilir. Satıcı ayrıca, güncelleştirmelerin hemen yüklenememesi durumunda güvenlik açığını azaltmak için güvenlik danışma belgesinde bir dizi komut da sağlar.
Ancak kuruluşlar, İstemci Güvenliğinin işlevselliği, VPN istemcisinin otomatik olarak yükseltme yeteneği ve Portal Kullanıcı Kaynağı işlevi üzerinde olumsuz bir etkiye sahip olabileceğinden, öncelikle komutların etkisini test etmelidir.