A falha em VPN da ArrayOS AG está sendo explorada ativamente por hackers, colocando em risco empresas que dependem dos appliances VPN Array Networks ArrayOS AG para acesso remoto seguro. A vulnerabilidade, ainda sem CVE-ID, permite injeção de comandos, levando à instalação de webshells PHP nos dispositivos afetados, o que abre uma porta dos fundos persistente para invasores, mesmo após reinicializações ou mudanças de configuração.
Este artigo explica em detalhes como a vulnerabilidade funciona, quais versões são afetadas, o impacto real da instalação de webshells e o que administradores de TI precisam fazer imediatamente para proteger suas infraestruturas corporativas. Entender a gravidade desta vulnerabilidade Array Networks é essencial, já que gateways SSL VPN como a série AG são amplamente utilizados como pontos de entrada críticos para ambientes internos e aplicações empresariais. A exploração ativa amplia a urgência de aplicar o patch e seguir as mitigações recomendadas.
O que é a vulnerabilidade e seu impacto
A falha de injeção de comandos ArrayOS foi identificada em versões do ArrayOS AG que possuem o recurso DesktopDirect ativado. A ausência de um CVE oficial não diminui a gravidade do problema, já que a exploração está ocorrendo em ritmo acelerado e de forma automatizada. O ataque consiste em injetar comandos arbitrários no dispositivo, permitindo ao invasor escrever arquivos diretamente no sistema. Os relatórios de segurança indicam que um dos artefatos mais comuns instalados pelos atacantes é um webshell PHP posicionado em caminhos como /ca/aproxy/webapp/, onde tende a passar despercebido por longos períodos. A presença de um webshell dá controle quase total sobre o dispositivo, permitindo execução remota de comandos, movimentação lateral dentro da rede corporativa, exfiltração de dados e persistência.
Webshells: a porta dos fundos persistente
Um webshell é essencialmente um script carregado por um invasor em um servidor comprometido, oferecendo um console de controle remoto acessível via navegador. Por funcionar sobre HTTP ou HTTPS, o tráfego é facilmente camuflado dentro do fluxo legítimo de uma VPN corporativa. O maior perigo é a persistência, já que o atacante pode retornar ao ambiente comprometido a qualquer momento. Em muitos casos, webshells instalados por injeção de comandos não dependem dos mecanismos originais que permitiram a invasão, dificultando a detecção e tornando o impacto potencial muito mais duradouro. Em ambientes com alta criticidade de acesso remoto, como empresas que dependem da AG para autenticação ou portais internos, essa persistência representa um risco real de sequestro operacional.
Versões afetadas e o recurso ‘desktopdirect’
A exploração da falha afeta especificamente o ArrayOS AG na versão 9.4.5.8 e anteriores, desde que o recurso DesktopDirect esteja habilitado. Esse recurso, utilizado para acesso remoto a desktops e aplicações internas, acaba expondo o componente vulnerável. Pesquisadores detectaram varreduras globais que identificam dispositivos vulneráveis expostos na internet, especialmente aqueles sem regras adicionais de firewall ou sem monitoramento agressivo de logs. Essa combinação cria um cenário ideal para ataques automatizados. Instâncias com versões defasadas continuam sendo alvos prioritários, tanto em campanhas manuais quanto em ataques massivos operados por botnets.
Como proteger sua infraestrutura: correção e mitigação
A correção oficial para a vulnerabilidade foi disponibilizada na atualização ArrayOS AG 9.4.5.9, que elimina o vetor de injeção de comandos. A recomendação primária para qualquer administrador é atualizar imediatamente para essa versão ou superior. Além do patch, há também mitigações alternativas, especialmente úteis para organizações que precisam realizar testes de compatibilidade antes da atualização definitiva.
A principal mitigação é desativar o recurso DesktopDirect, já que ele é o pré-requisito da exploração. Em ambientes onde o recurso não é essencial, essa é uma solução rápida e eficaz. Outra solução alternativa recomendada por especialistas é adicionar um filtro de URL que bloqueie o caractere “;” (ponto e vírgula), amplamente utilizado na cadeia de ataque para separar comandos. Embora não seja uma solução definitiva, esse bloqueio reduz significativamente a superfície de exploração enquanto o patch não é aplicado. Manter monitoramento de logs HTTP, ativar alertas de comportamento suspeito e executar verificações periódicas nos diretórios conhecidos por webshells também são práticas essenciais.
Conclusão/impacto
A exploração ativa desta vulnerabilidade reforça a necessidade de patches rápidos em dispositivos de acesso remoto crítico, como appliances SSL VPN. Ataques desse tipo mostram que até falhas sem CVE podem representar riscos severos quando exploradas de forma massiva e silenciosa.
A falha ArrayOS AG deve servir de alerta para equipes de Segurança da Informação e TI sobre a importância de visibilidade, atualização e análise constante das superfícies expostas na internet. Se sua organização utiliza dispositivos ArrayOS AG, é essencial verificar imediatamente a versão instalada, confirmar se o DesktopDirect está habilitado e aplicar o patch ou mitigações sem atrasos. Compartilhe este alerta com sua equipe de segurança, fornecedores e parceiros, ajudando a reduzir a janela de exposição e impedindo a instalação de webshells em sua infraestrutura.
