【 資安警訊 】- 美國證實 Array Networks 旗下 SSL VPN 系統重大漏洞已出現攻擊行動
發布編號 :OIS-CTI-2024-11-004
情資來源 :iThome
事件類型 :攻擊、漏洞警訊公告
內容說明 :
美國網路安全暨基礎設施安全局(CISA)於週一,將安瑞科技(Array Networks)SSL VPN 系統漏洞 CVE-2023-28461 列入已遭利用漏洞(KEV)清單,巧合的是,這份公告發布之前,有資安業者揭露的攻擊行動裡,駭客正好就利用了這項漏洞
11 月 25 日美國網路安全暨基礎設施安全局(CISA)發布公告,他們將重大層級的漏洞CVE-2023-28461列入已遭利用漏洞(KEV)清單,要求聯邦機構必須在 12 月 16 日完成修補。
這項漏洞存在於安瑞科技(Array Networks)Array AG 系列 SSL VPN 設備,以及虛擬化版本vxAG,原因是重要功能缺乏身分驗證機制造成,攻擊者有機會利用漏洞讀取 SSL VPN 閘道的本機檔案,或是執行任意程式碼,CVSS 風險達到 9.8,影響 9.4.0.481 以前版本的作業系統。
一旦攻擊者利用這項漏洞,就有機會遠端執行任意程式碼,他們可在未經身分驗證的情況下,藉由 HTTP 標頭特定標籤屬性,瀏覽閘道的檔案系統。安瑞於去年 3 月 9 日公布這項漏洞,並於同月17日提供修補程式。
雖然 CISA 並未透露攻擊者如何利用這項漏洞,不過這項資安公告發布的前幾天,趨勢科技公布中國駭客組織 Earth Kasha 的最新一波攻擊行動裡,其中一項用來取得初始入侵管道的 SSL VPN漏洞,就是 CVE-2023-28461。
影響平台 :
Array AG系列SSL VPN設備
建議措施 :
針對這項漏洞,該公司表示當時在他們接獲通報後,立即展開深入調查,並啟動應急程序,快速修復漏洞,他們在 3 月發布的新版作業系統 9.4.0.484 版已解決問題,並通知客戶更新。他們的技術團隊也提供支援,協助客戶完成升級。
CISA 發布公告,他們將重大層級的漏洞CVE-2023-28461列入已遭利用漏洞(KEV)清單,要求聯邦機構必須在 12 月 16 日完成修補。
參考連結 :