Una vulnerabilidad de inyección de comandos en las puertas de enlace de acceso seguro de la serie Array Networks AG ha sido explotada desde agosto de 2025, según una alerta emitida por JPCERT/CC esta semana.
Esta vulnerabilidad, que no tiene un identificador CVE, fue resuelta por la empresa el 11 de mayo de 2025. La vulnerabilidad tiene su origen en DesktopDirect de Array, una solución de acceso a escritorio remoto que permite a los usuarios acceder de forma segura a sus computadoras de trabajo desde cualquier lugar.
JPCERT/CC afirma: «Si se explota esta vulnerabilidad, un atacante puede ejecutar comandos arbitrarios». «Esta vulnerabilidad afecta a los sistemas que tienen habilitada la función ‘DesktopDirect’, que proporciona acceso a escritorio remoto».
La agencia dijo que confirmó un incidente en Japón que aprovechó esta vulnerabilidad para colocar un shell web en dispositivos susceptibles a partir de agosto de 2025. La fuente del ataque es la dirección IP «194.233.100(.)138».
En este momento, los detalles sobre la escala del ataque, el uso de la falla como arma y la identidad de los atacantes que la explotan no están disponibles.
Sin embargo, el año pasado un grupo de ciberespionaje vinculado a China llamado MirrorFace aprovechó una falla de omisión de autenticación (CVE-2023-28461, 9.8) en el mismo producto, que tiene un historial de atacar a organizaciones japonesas desde al menos 2019. Sin embargo, actualmente no hay evidencia que sugiera que algún actor de amenazas pueda estar involucrado en esta serie de ataques.
Esta vulnerabilidad afectó a las versiones 9.4.5.8 y anteriores de ArrayOS y se resolvió en la versión 9.4.5.9 de ArrayOS. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para mitigar posibles amenazas. Si la aplicación de parches no es posible de inmediato, JPCERT/CC afirma que se recomienda deshabilitar el servicio DesktopDirect y utilizar el filtrado de URL para denegar el acceso a las URL que contienen punto y coma.
Source link
