Один IP-адрес против тысяч корпораций: хакеры захватывают SSL-шлюзы Array AG по всему миру

Хакерские группы воспользовались пробелом в безопасности корпоративных шлюзов Array AG Series, внедряя на устройства незаметные для администратора управляющие мини-программы и создавая поддельные учётные записи. Уязвимость приводила к выполнению произвольных команд в системе: злоумышленники получали возможность манипулировать окружением устройства так, будто имеют полный доступ. Производитель закрыл брешь в майском обновлении, однако не присвоил проблеме идентификатор, что затруднило отслеживание ситуации и ввергло многие компании в неопределённость - понять, относится ли конкретный инцидент к уже исправленному дефекту, стало намного сложнее.

Проблема приобрела особую остроту после предупреждения JPCERT/CC: японская команда реагирования установила, что атаки продолжаются как минимум с августа и направлены преимущественно на местные организации. Аналитики выяснили, что внедрение вредоносных компонентов и последующие действия идут с одного и того же адреса - 194.233.100[.]138, который используется не только для начального проникновения, но и для связи с уже скомпрометированными компьютерами. В нескольких проверенных случаях на систему пытались загрузить PHP-скрипт по пути /ca/aproxy/webapp/, позволяющий оператору полностью контролировать трафик, перенаправлять запросы и скрытно выполнять задачи.

Под удар попадают все версии ArrayOS AG до 9.4.5.8, включая аппаратные комплексы и виртуальные инстансы с активированным модулем DesktopDirect. Именно он открывает в системе дополнительный функционал, который и оказался уязвимым для внедрения. Исследователи подчёркивают: обновление до 9.4.5.9 закрывает брешь полностью. Тем, кто не может установить патч немедленно, предложены временные меры - отключение всех служб DesktopDirect при отсутствии необходимости в удалённом доступе к рабочему столу и фильтрация запросов, содержащих точку с запятой. Такой символ атакующие используют при построении вредоносных конструкций, что делает блокировку действенным способом снизить риск повторного взлома.

Линейка Array AG Series занимает значимое место в инфраструктуре крупных корпораций: устройства создают зашифрованные SSL-каналы, через которые сотрудники получают доступ к внутренним приложениям, виртуальным рабочим местам и облачным ресурсам. Подобные комплексы часто устанавливают там, где требуется стабильная работа из офисов и вне их, поэтому воздействие на такую систему способно нарушить сразу множество рабочих процессов.

После тревожных сообщений исследователь компании Macnica Ютака Сэдзияма проанализировал доступные экземпляры устройств в интернете. Его сканирование выявило 1 831 инстанс по всему миру - основная часть сосредоточена в Китае, Японии и Соединённых Штатах. Было точно установлено: минимум 11 узлов работают с активным DesktopDirect, но реальное число может быть куда больше, поскольку многие системы скрыты за корпоративными политиками доступа и инструментами сетевой маскировки.

Сэдзияма также обратил внимание на дисбаланс в восприятии проблемы. По его словам, за пределами азиатского региона к происходящему относятся значительно менее внимательно: зарубежные компании ориентируются на угрозы, затрагивающие более распространённые платформы, тогда как атаки на Array AG Series пока реже попадают в отчёты международных команд реагирования. В результате масштаб эксплуатации долгое время оставался недооценённым.

Журналисты попытались выяснить у Array Networks, намерена ли компания опубликовать полноценное уведомление и присвоить уязвимости идентификатор CVE, однако до настоящего момента производитель не предоставил комментарий. Между тем это уже не первый случай, когда оборудование линейки становится целью. Год назад американское агентство CISA фиксировало активное развитие атак на критический дефект CVE-2023-28461, позволявший выполнять код на AG- и vxAG-платформах.