「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害

Array Networksのリモートアクセス製品「Array AGシリーズ」の脆弱性が悪用されているとして、JPCERTコーディネーションセンターが注意喚起を行った。2025年5月のアップデートで解消されたが、CVE番号は採番されておらず、関係者に脆弱性のリスクに関する情報が十分行き渡っていないおそれもある。

組織内部ネットワークの端末に対して外部からリモートデスクトップアクセスが可能となる「DesktopDirect」機能を有効化している場合に、任意のコマンドが実行できるコマンドインジェクションの脆弱性が存在。2025年8月以降、国内において悪用が確認されているとして注意喚起を行ったもの。

具体的には、機器上にPHPベースの「ウェブシェル」が設置されたほか、新規ユーザーの作成、内部ネットワークへの侵入など、攻撃に脆弱性が悪用されたという。

問題の脆弱性はファームウェア「ArrayOS AG 9.4.5.8」および以前のバージョンに存在。2025年5月にリリースされた「同9.4.5.9」にて修正され、回避策も存在するが、2025年12月3日の時点で同脆弱性を識別するためのCVE番号は未採番の状況だという。

JPCERT/CCでは利用者に対して脆弱性への対策を呼びかけるとともに、アップデートについては、更新時の再起動でログが消失するおそれがあると指摘。侵害調査に影響するおそれがあり、事前に保全を実施した上で対応を進めるよう求めている。

また「IoC（Indicators of Compromise）」情報として攻撃者によって悪用されたIPアドレスを公開し、利用者に注意を呼びかけている。

（Security NEXT - 2025/12/03 ） ツイート

PR

関連記事

「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Arista EOS」ゼロデイ含む脆弱性3件を悪用リストに追加 - 米当局
「OpenSSL」にセキュリティアップデート - 脆弱性18件を修正
ビデオ会議ツール「Zoom」のモバイルクライアントなどに脆弱性
「Ivanti Sentry」に複数の深刻な脆弱性 - 修正版を公開
Adobe、「Adobe Acrobat Reader」に20件の脆弱性 - アップデートを公開
Adobeのマーケティング管理製品にRCE脆弱性 - 緊急対応を
SAP、月例アドバイザリを公開 - 「クリティカル」が4件
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応