Grave vulnerabilità RCE in Array Networks AG/vxAG (CVE-2023-28461) attivamente sfruttata

L’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha emesso un avviso riguardante lo sfruttamento attivo di una vulnerabilità critica di esecuzione di codice da remoto (RCE), CVE-2023-28461, nei prodotti Access Gateway (AG) e Virtual Secure Access Gateway (vxAG) di Array Networks. Secondo i report, oltre 440.000 host esposti a Internet a livello globale potrebbero essere vulnerabili ad attacchi, evidenziando l’impatto diffuso del problema. Sono state osservate attività di sfruttamento miranti agenzie governative e organizzazioni nel settore delle tecnologie avanzate.

Array Networks
2024-11-28 10:11:20
Fix Available, Active Exploitation

Riassunto tecnico

CVE-2023-28461 è una vulnerabilità critica con un punteggio CVSS di 9.8 che consente agli aggressori di aggirare l’autenticazione ed eseguire codice arbitrario o esplorare il file system del gateway SSL VPN manipolando l’attributo flags negli header HTTP.

Prodotti interessati:

  • Prodotti Array Networks AG/vxAG con sistema ArrayOS AG versione 9.x.

Campagne di attacco:

  • La vulnerabilità è stata sfruttata da Earth Kasha (collegato al gruppo APT10), insieme ad altre falle come CVE-2023-45727 e CVE-2023-27997, prendendo di mira organizzazioni in Giappone, Taiwan e India. Gli aggressori hanno utilizzato la vulnerabilità per installare backdoor come Cobalt Strike, LodeInfo e NoopDoor allo scopo di mantenere la persistenza e muoversi lateralmente nelle reti compromesse.

Disponibilità della patch:

  • Array Networks ha rilasciato una patch nella versione ArrayOS AG 9.4.0.484, annunciata nel marzo 2023.

Raccomandazioni

  1. Applicazione immediata della patch:

    • Aggiornare ad ArrayOS AG versione 9.4.0.484 o successiva tramite il portale di supporto di Array Networks.
    • Le agenzie federali devono conformarsi alla Direttiva Operativa Vincolante (BOD) 22-01 della CISA e applicare la patch entro il 16 dicembre.

  2. Rafforzamento della rete:

    • Limitare l’accesso ai gateway SSL VPN solo a indirizzi IP e reti fidati.
    • Utilizzare firewall o VPN per ridurre l’esposizione.
    • Monitorare i log per attività sospette, quali accessi o tentativi di esecuzione non autorizzati.

  3. Rilevamento avanzato delle minacce:

    • Cercare indicatori di compromissione (IoC) come la presenza di Cobalt Strike, LodeInfo o NoopDoor.
    • Utilizzare strumenti EDR (Endpoint Detection and Response) per identificare attività sospette associate a minacce APT.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In