CISA Urges Agencies to Patch Critical “Array Networks” Flaw Amid Active Attacks
2024/11/26 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、Array Networks AG/vxAG に存在する脆弱性をKEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2023-28461 (CVSS:9.8) は、認証の欠落を原因とするものであり、任意のリモート・コード実行を引き起こす可能性を持つとされる。Array Networks は、2023年3月の時点で、このセキュリティ上の欠陥に対する修正バージョン 9.4.0.484 をリリースしている。
Array Networks は、「Array AG/vxAG に、リモート・コード実行の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、認証を必要とせずに HTTP ヘッダーのフラグ属性を悪用し、SSL VPN ゲートウェイ上でのファイル・システムの閲覧や、リモート・コード実行を達成する。Array AG/vxAG には、脆弱な URL を通じて悪用される可能性がある」と警告している。
この脆弱性 CVE-2023-28461 に関しては、中国由来のサイバースパイ・グループ Earth Kasha (別名 MirrorFace) による悪用が、サイバー・セキュリティ企業 Trend Micro により確認されている。この脅威グループは、Array AG の脆弱性の他にも、Proself の脆弱性 CVE-2023-45727 や、Fortinet FortiOS/FortiProxy の脆弱性 CVE-2023-27997 などを悪用し、イニシャル・アクセスを取得していたという。
Earth Kasha は、広範な日本企業を標的にすることで知られているが、近年では、台湾/インド/ヨーロッパへと、攻撃の範囲を拡大している。
2024年11月の初旬に ESET が公開したレポートによると、2025年4月に開催予定の大阪万博をルアーとしたキャンペーンを、Earth Kasha は展開しているという。そのキャンペーンは、EU の非公開の外交機関を標的にして、ANEL バックドアを展開するものだという。
こうした活発な悪用を踏まえ、CISA が連邦政府の文民行政部門 (FCEB) の各機関に要求するのは、2024年12月16日までにパッチを適用し、ネットワークを保護することである。
VulnCheck の調査によると、2023 Top Routinely Exploited Vulnerabilities に取り込まれた少なくとも1つの脆弱性を、60の脅威アクターが悪用していることが判明したが、そのうちの 15 は中国のハッキング・グループだという。さらに同社は、インターネットに公開され、攻撃を受けやすいと思われるホストを、44万件以上も特定したという。
VulnCheck の Patrick Garrity は、「ユーザー企業にとって必要なことは、攻撃の標的にされやすいテクノロジーの公開状況を評価し、潜在的なリスクに対する可視性を高めることだ。それに加えて、堅牢な脅威インテリジェンスの活用や、パッチ管理の維持徹底、各デバイスのインターネット露出の低減といった、緩和策を実施すべきである」と述べている。
Array Networks 製品に存在する脆弱性が、CISA KEV に登録されたということは、米国の連邦政府機関において、同社の製品が利用されているからです。この Array Networks ですが、このブログには初登場なので、Wikipediaで調べたところ、「カリフォルニアで創業した企業でありながら、2009年5月13日に、台湾証券取引所に上場した。その当時の同社の市場シェアは、43% を中国に依存し、中国で販売された主力製品は SSL VPN デバイスだったという。また、中国での 200 人の従業員と、シリコンバレーでの 70 人の従業員を抱えていた。中国での上場が認められていなかったことで、選択肢は NASDAQ と台湾証券取引所に絞り込まれた。そして、台湾証券取引所が選ばれた理由は、Array Networks がアジアで強力なビジネス展開をしていたこと、そして、台湾証券取引所の上場手数料が NASDAQ よりも安かったことにある」と紹介されていました。なかなか、ユニークな生き方をしている企業ですね。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.