L’agence américaine de cyberdéfense a reçu des preuves de pirates informatiques exploitant activement une vulnérabilité d’exécution de code à distance dans les produits VPN SSL Array Networks AG et VXAG ArrayOS.
Le problème de sécurité est suivi sous le numéro CVE-2023-28461 et a reçu un score de gravité critique de 9,8 et l’agence l’a inclus dans le catalogue des vulnérabilités exploitées connues (KEV).
Le bogue peut être exploité via une URL vulnérable et constitue un problème d’authentification incorrect qui permet l’exécution de code à distance dans les séries Array AG et vxAG version 9.4.0.481 et antérieures.
« (CVE-2023-28461 est) [a] une vulnérabilité de sécurité Web qui permet à un attaquant de parcourir le système de fichiers ou d’exécuter du code distant sur la passerelle VPN SSL à l’aide de l’attribut flags dans l’en-tête HTTP sans authentification », indique le fournisseur dans un bulletin de sécurité.
La faille a été révélée l’année dernière le 9 mars et Array Networks l’a corrigée environ une semaine plus tard avec la publication de la version 9.4.0.484 de Array AG.
Les séries Array Networks AG (appliances matérielles) et vxAG (appliances virtuelles) sont des produits VPN SSL qui offrent un accès distant et mobile sécurisé aux réseaux d’entreprise, aux applications d’entreprise et aux services cloud.
Selon le fournisseur, ils sont utilisés par plus de 5 000 clients dans le monde entier, y compris des entreprises, des prestataires de services et des agences gouvernementales.
CISA n’a fourni aucun détail sur les personnes qui tirent parti de la vulnérabilité et les organisations ciblées, mais l’a ajoutée au catalogue des vulnérabilités exploitées connues (KEV) « sur la base de preuves d’exploitation active. »
L’agence recommande que tous les organismes fédéraux et les organisations d’infrastructures essentielles appliquent les mises à jour de sécurité et les mesures d’atténuation disponibles d’ici le 16 décembre ou cessent d’utiliser le produit.
Les mises à jour de sécurité pour les produits concernés sont disponibles via le portail de support Array. Le fournisseur fournit également dans l’avis de sécurité un ensemble de commandes pour atténuer la vulnérabilité si les mises à jour ne peuvent pas être installées immédiatement.
Cependant, les organisations doivent d’abord tester l’effet des commandes car elles peuvent avoir un impact négatif sur la fonctionnalité de sécurité du client, la capacité du client VPN à se mettre à niveau automatiquement et la fonction de ressource utilisateur du portail.