Japonya Bilgisayar Acil Durum Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC), Array Networks AG Serisi güvenli erişim ağ geçitlerini etkileyen bir komut ekleme güvenlik açığının Japonya’da Ağustos 2025’ten bu yana aktif olarak kullanıldığını doğruladı. 5 Aralık 2025’te güncellenen danışma belgesi, saldırganların web kabukları yerleştirmek ve dahili ağlara yetkisiz erişim elde etmek için bu kusurdan yararlandığını belirtiyor.
JPCERT’e göre güvenlik açığı, Array Networks’ün kullanıcıların ofis kaynaklarına güvenli bir şekilde bağlanmasına yardımcı olmak için tasarlanmış uzak masaüstü erişim özelliği olan AG Serisinin DesktopDirect özelliğinden kaynaklanıyor. Sorun, satıcı tarafından 11 Mayıs 2025’te sessizce çözülmüş olsa da, genel bir CVE tanımlayıcısının bulunmaması ve yama uygulanmamış cihazların varlığının devam etmesi, önemli bir saldırı yüzeyinin açığa çıkmasına neden oldu.
Danışma belgesinde “Bu güvenlik açığından yararlanılması, saldırganların keyfi komutlar yürütmesine olanak tanıyabilir” ifadesi yer alıyor. JPCERT, DesktopDirect çalıştıran sistemlerin özellikle risk altında olduğunu ekleyerek, özellik etkinleştirmenin başarılı bir kullanım için bir ön koşul olduğunu vurguladı.
Tek Bir IP Adresine Göre Takip Edilen Devam Eden Saldırılar
JPCERT, Japonya’daki kuruluşların Ağustos 2025’ten itibaren bu güvenlik açığıyla bağlantılı izinsiz girişlerle karşılaştığını bildiriyor. Bu olaylarda saldırganlar, kalıcı uzaktan erişim sağlayacak bir teknik olan “/webapp/” içeren yollara PHP tabanlı web kabukları yerleştirmeye çalıştı.
Ajans, kötü amaçlı trafiğin sürekli olarak 194.233.100 IP adresinden kaynaklandığını belirtti.[.]138, ancak tehdit aktörlerinin kimlikleri ve motivasyonları belirsizliğini koruyor. Detaylar Kampanyanın kapsamına ilişkin olarak web kabuklarının ötesinde konuşlandırılan araçlar veya saldırganların bilinen bir tehdit grubunu temsil edip etmediği henüz açıklanmadı.
CVE-2023-28461’in Geçmişteki İstismarlarıyla Bağlantılı Kanıt Yok
Yeni ortaya çıkan güvenlik açığı, CVSS 9.8 olarak derecelendirilen yüksek önem dereceli bir kimlik doğrulama bypass’ı olan, aynı ürün grubunda önceden yararlanılan başka bir kusur olan CVE-2023-28461 ile birlikte mevcut. Bu daha önceki sorun, 2024 yılında MirrorFace olarak bilinen ve en az 2019’dan bu yana Japon kurumlarını hedef alan Çin bağlantılı bir casusluk grubu tarafından kötüye kullanıldı.
Etkilenen sistemlerdeki örtüşmeye rağmen JPCERT, son komut enjeksiyon saldırılarını MirrorFace ile veya CVE-2023-28461 ile ilgili önceki faaliyetlerle ilişkilendiren güncel bir kanıt bulunmadığını vurguladı.
Etkilenen Sürümler ve Gerekli Güncellemeler
Güvenlik açığı, tümü DesktopDirect işlevini destekleyen ArrayOS AG 9.4.5.8 ve önceki sürümlerini etkiliyor. Array Networks, kusuru gidermek için ArrayOS 9.4.5.9 adlı sabit bir sürüm yayınladı. Şirket, kullanıcılara güncellenen ürün yazılımını mümkün olan en kısa sürede test etmelerini ve dağıtmalarını tavsiye etti.
JPCERT, yöneticileri, yamayı uyguladıktan sonra cihazları yeniden başlatmanın günlük kaybına yol açabileceği konusunda uyardı. Günlük dosyaları izinsiz giriş araştırmaları için çok önemli olduğundan kurum, herhangi bir güncelleme veya sistem yeniden başlatma işlemi gerçekleştirmeden önce bu kayıtların korunmasını önerir.
Geçici Çözümler
Ürün yazılımı güncellemesini hemen uygulayamayan kuruluşlar için Array Networks, geçici etki azaltma adımları sağlamıştır:
- Özellik aktif olarak kullanılmıyorsa tüm DesktopDirect hizmetlerini devre dışı bırakın.
- Komut ekleme verileri için yaygın olarak kullanılan bir vektör olan noktalı virgül (“;”) içeren istekleri engellemek için URL filtreleme uygulayın.
Bu önlemler, yama uygulanabilir hale gelene kadar maruz kalmayı azaltmayı amaçlamaktadır.
JPCERT, tavsiye niteliğindeki duyurusunda, etkilenen ürünlerin tüm kullanıcılarını sistemlerini güvenlik ihlali belirtileri açısından incelemeye çağırdı. Bildirilen kötü amaçlı faaliyetler arasında web kabuklarının kurulumu, yetkisiz kullanıcı hesaplarının oluşturulması ve güvenliği ihlal edilmiş AG ağ geçitleri aracılığıyla başlatılan müteakip dahili izinsiz girişler yer alıyor.