「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害

Array Networksのリモートアクセス製品「Array AGシリーズ」の脆弱性が悪用されているとして、JPCERTコーディネーションセンターが注意喚起を行った。2025年5月のアップデートで解消されたが、CVE番号は採番されておらず、関係者に脆弱性のリスクに関する情報が十分行き渡っていないおそれもある。

組織内部ネットワークの端末に対して外部からリモートデスクトップアクセスが可能となる「DesktopDirect」機能を有効化している場合に、任意のコマンドが実行できるコマンドインジェクションの脆弱性が存在。2025年8月以降、国内において悪用が確認されているとして注意喚起を行ったもの。

具体的には、機器上にPHPベースの「ウェブシェル」が設置されたほか、新規ユーザーの作成、内部ネットワークへの侵入など、攻撃に脆弱性が悪用されたという。

問題の脆弱性はファームウェア「ArrayOS AG 9.4.5.8」および以前のバージョンに存在。2025年5月にリリースされた「同9.4.5.9」にて修正され、回避策も存在するが、2025年12月3日の時点で同脆弱性を識別するためのCVE番号は未採番の状況だという。

JPCERT/CCでは利用者に対して脆弱性への対策を呼びかけるとともに、アップデートについては、更新時の再起動でログが消失するおそれがあると指摘。侵害調査に影響するおそれがあり、事前に保全を実施した上で対応を進めるよう求めている。

また「IoC（Indicators of Compromise）」情報として攻撃者によって悪用されたIPアドレスを公開し、利用者に注意を呼びかけている。

（Security NEXT - 2025/12/03 ） ツイート

PR

関連記事

米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
SAP、セキュリティアドバイザリ17件を公開 - 4件が「クリティカル」
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
NVIDIAのGPU開発支援ツール「NVIDIA NSIGHT Graphics」に脆弱性
Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応