A Agência Americana de Defesa Cibernética revelou que hackers estão ativamente explorando uma vulnerabilidade crítica (CVE-2023-28461) presente nos produtos SSL VPN da série AG e vxAG ArrayOS, fabricados pela Array Networks. Classificada com uma pontuação de gravidade de 9.8, a falha foi adicionada ao catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), refletindo a seriedade do problema.
Detalhes da Vulnerabilidade
A falha, identificada como um problema de autenticação inadequada, permite a execução remota de código nos dispositivos afetados. O ataque ocorre por meio de uma URL vulnerável, utilizando atributos de cabeçalhos HTTP para explorar o sistema sem autenticação.
Produtos afetados:
- Array AG Series: Equipamentos físicos.
- Array vxAG Series: Soluções virtuais.
A versão vulnerável é a 9.4.0.481 e anteriores. Uma correção foi disponibilizada pela Array Networks em março de 2023 com a atualização para a versão 9.4.0.484.
Notícias Relacionadas
Segurança digital
Falhas críticas em plugin do WordPress comprometem segurança de 200 mil sites
Vulnerabilidades graves no plugin CleanTalk do WordPress permitem ataques remotos e instalação de malware. Atualize para evitar riscos.
Segurança digital
QNAP corrige falhas críticas em sistemas NAS e roteadores
QNAP lança atualizações para corrigir falhas críticas em NAS e roteadores, incluindo vulnerabilidades de alta gravidade. Atualize seus dispositivos imediatamente.
Impacto Global
Mais de 5.000 clientes utilizam as soluções da Array Networks, incluindo grandes empresas, provedores de serviços e órgãos governamentais. Esses produtos são fundamentais para acesso remoto seguro a redes corporativas e serviços em nuvem.
Embora os detalhes sobre os hackers ou organizações-alvo não tenham sido divulgados, a inclusão no KEV sugere que ataques já estão em andamento.
Recomendações da Agência
A Agência de Defesa Cibernética dos EUA orienta:
- Atualização Imediata: Aplique os patches disponíveis no portal de suporte da Array Networks.
- Mitigações Temporárias: Utilize comandos sugeridos pela empresa, testando antes para evitar impactos na funcionalidade de segurança do cliente e do portal.
- Prazo Crítico: Agências federais e setores de infraestrutura essencial devem corrigir ou descontinuar o uso dos produtos até 16 de dezembro.
Organizações devem avaliar as vulnerabilidades em seus ambientes, priorizando a aplicação de patches e mitigando riscos enquanto as atualizações completas são implementadas.
