ISGroup Cybersicherheitsberatung

Schwerwiegende RCE-Schwachstellen in Array Networks AG/vxAG (CVE-2023-28461) werden aktiv ausgenutzt

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung bezüglich der aktiven Ausnutzung einer kritischen Schwachstelle zur Remotecodeausführung (RCE), CVE-2023-28461, in den Produkten Access Gateway (AG) und Virtual Secure Access Gateway (vxAG) von Array Networks herausgegeben. Berichten zufolge könnten weltweit über 440.000 mit dem Internet verbundene Hosts anfällig für Angriffe sein, was die weitreichenden Auswirkungen des Problems unterstreicht. Es wurden Angriffsaktivitäten beobachtet, die auf Regierungsbehörden und Organisationen im Hochtechnologiesektor abzielten.

ProduktArray Networks
Datum28.11.2024 10:11:20
Informationen
  • Patch verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

CVE-2023-28461 ist eine kritische Schwachstelle mit einem CVSS-Score von 9.8, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und beliebigen Code auszuführen oder das Dateisystem des SSL-VPN-Gateways zu durchsuchen, indem das flags-Attribut in HTTP-Headern manipuliert wird.

Betroffene Produkte:

  • Array Networks AG/vxAG-Produkte mit ArrayOS AG System Version 9.x.

Angriffskampagnen:

  • Die Schwachstelle wurde von Earth Kasha (in Verbindung mit der APT10-Gruppe) zusammen mit anderen Sicherheitslücken wie CVE-2023-45727 und CVE-2023-27997 ausgenutzt, um Organisationen in Japan, Taiwan und Indien anzugreifen. Die Angreifer nutzten die Schwachstelle, um Backdoors wie Cobalt Strike, LodeInfo und NoopDoor zu installieren, um die Persistenz aufrechtzuerhalten und sich seitlich (lateral) in den kompromittierten Netzwerken zu bewegen.

Verfügbarkeit des Patches:

  • Array Networks hat im März 2023 einen Patch in der Version ArrayOS AG 9.4.0.484 veröffentlicht.

Empfehlungen

  1. Sofortige Anwendung des Patches:

    • Aktualisieren Sie auf ArrayOS AG Version 9.4.0.484 oder höher über das Support-Portal von Array Networks.
    • Bundesbehörden müssen die Binding Operational Directive (BOD) 22-01 der CISA einhalten und den Patch bis zum 16. Dezember anwenden.

  2. Netzwerkhärtung:

    • Beschränken Sie den Zugriff auf SSL-VPN-Gateways nur auf vertrauenswürdige IP-Adressen und Netzwerke.
    • Verwenden Sie Firewalls oder VPNs, um die Exposition zu verringern.
    • Überwachen Sie Protokolle auf verdächtige Aktivitäten, wie z. B. unbefugte Zugriffe oder Ausführungsversuche.

  3. Erweiterte Bedrohungserkennung:

    • Suchen Sie nach Indikatoren für eine Kompromittierung (IoCs), wie das Vorhandensein von Cobalt Strike, LodeInfo oder NoopDoor.
    • Verwenden Sie EDR-Tools (Endpoint Detection and Response), um verdächtige Aktivitäten zu identifizieren, die mit APT-Bedrohungen in Verbindung stehen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *