Один IP-адрес против тысяч корпораций: хакеры захватывают SSL-шлюзы Array AG по всему миру
NewsMakerАтака длится месяцами без CVE-идентификатора.
Хакерские группы воспользовались пробелом в безопасности корпоративных шлюзов Array AG Series, внедряя на устройства незаметные для администратора управляющие мини-программы и создавая поддельные учётные записи. Уязвимость приводила к выполнению произвольных команд в системе: злоумышленники получали возможность манипулировать окружением устройства так, будто имеют полный доступ. Производитель закрыл брешь в майском обновлении, однако не присвоил проблеме идентификатор, что затруднило отслеживание ситуации и ввергло многие компании в неопределённость - понять, относится ли конкретный инцидент к уже исправленному дефекту, стало намного сложнее.
Проблема приобрела особую остроту после предупреждения JPCERT/CC: японская команда реагирования установила, что атаки продолжаются как минимум с августа и направлены преимущественно на местные организации. Аналитики выяснили, что внедрение вредоносных компонентов и последующие действия идут с одного и того же адреса - 194.233.100[.]138, который используется не только для начального проникновения, но и для связи с уже скомпрометированными компьютерами. В нескольких проверенных случаях на систему пытались загрузить PHP-скрипт по пути /ca/aproxy/webapp/, позволяющий оператору полностью контролировать трафик, перенаправлять запросы и скрытно выполнять задачи.
Под удар попадают все версии ArrayOS AG до 9.4.5.8, включая аппаратные комплексы и виртуальные инстансы с активированным модулем DesktopDirect. Именно он открывает в системе дополнительный функционал, который и оказался уязвимым для внедрения. Исследователи подчёркивают: обновление до 9.4.5.9 закрывает брешь полностью. Тем, кто не может установить патч немедленно, предложены временные меры - отключение всех служб DesktopDirect при отсутствии необходимости в удалённом доступе к рабочему столу и фильтрация запросов, содержащих точку с запятой. Такой символ атакующие используют при построении вредоносных конструкций, что делает блокировку действенным способом снизить риск повторного взлома.
Линейка Array AG Series занимает значимое место в инфраструктуре крупных корпораций: устройства создают зашифрованные SSL-каналы , через которые сотрудники получают доступ к внутренним приложениям, виртуальным рабочим местам и облачным ресурсам. Подобные комплексы часто устанавливают там, где требуется стабильная работа из офисов и вне их, поэтому воздействие на такую систему способно нарушить сразу множество рабочих процессов.
Хакерские группы воспользовались пробелом в безопасности корпоративных шлюзов Array AG Series, внедряя на устройства незаметные для администратора управляющие мини-программы и создавая поддельные учётные записи. Уязвимость приводила к выполнению произвольных команд в системе: злоумышленники получали возможность манипулировать окружением устройства так, будто имеют полный доступ. Производитель закрыл брешь в майском обновлении, однако не присвоил проблеме идентификатор, что затруднило отслеживание ситуации и ввергло многие компании в неопределённость - понять, относится ли конкретный инцидент к уже исправленному дефекту, стало намного сложнее.
Проблема приобрела особую остроту после предупреждения JPCERT/CC: японская команда реагирования установила, что атаки продолжаются как минимум с августа и направлены преимущественно на местные организации. Аналитики выяснили, что внедрение вредоносных компонентов и последующие действия идут с одного и того же адреса - 194.233.100[.]138, который используется не только для начального проникновения, но и для связи с уже скомпрометированными компьютерами. В нескольких проверенных случаях на систему пытались загрузить PHP-скрипт по пути /ca/aproxy/webapp/, позволяющий оператору полностью контролировать трафик, перенаправлять запросы и скрытно выполнять задачи.
Под удар попадают все версии ArrayOS AG до 9.4.5.8, включая аппаратные комплексы и виртуальные инстансы с активированным модулем DesktopDirect. Именно он открывает в системе дополнительный функционал, который и оказался уязвимым для внедрения. Исследователи подчёркивают: обновление до 9.4.5.9 закрывает брешь полностью. Тем, кто не может установить патч немедленно, предложены временные меры - отключение всех служб DesktopDirect при отсутствии необходимости в удалённом доступе к рабочему столу и фильтрация запросов, содержащих точку с запятой. Такой символ атакующие используют при построении вредоносных конструкций, что делает блокировку действенным способом снизить риск повторного взлома.
Линейка Array AG Series занимает значимое место в инфраструктуре крупных корпораций: устройства создают зашифрованные SSL-каналы , через которые сотрудники получают доступ к внутренним приложениям, виртуальным рабочим местам и облачным ресурсам. Подобные комплексы часто устанавливают там, где требуется стабильная работа из офисов и вне их, поэтому воздействие на такую систему способно нарушить сразу множество рабочих процессов.