Một lỗ hổng command injection trong các cổng truy cập bảo mật Array Networks AG Series đã bị khai thác trong thực tế kể từ tháng 8 năm 2025, theo cảnh báo do JPCERT/CC đưa ra trong tuần này.
Lỗ hổng này, chưa có định danh CVE, đã được công ty khắc phục vào ngày 11 tháng 5 năm 2025. Nó bắt nguồn từ DesktopDirect của Array, một giải pháp truy cập máy tính từ xa cho phép người dùng truy cập an toàn vào máy tính làm việc của họ từ bất kỳ địa điểm nào.
"Khai thác lỗ hổng này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý," JPCERT/CC cho biết. "Lỗ hổng này ảnh hưởng đến các hệ thống mà tính năng 'DesktopDirect', cung cấp quyền truy cập máy tính từ xa, được kích hoạt."
Cơ quan này cho biết họ đã xác nhận các sự cố tại Nhật Bản đã khai thác lỗ hổng này sau tháng 8 năm 2025 để cài đặt web shells trên các thiết bị dễ bị tổn thương. Các cuộc tấn công có nguồn gốc từ địa chỉ IP "194.233.100[.]138."
Hiện tại, không có thông tin chi tiết nào về quy mô của các cuộc tấn công, việc vũ khí hóa lỗ hổng, và danh tính của các threat actors khai thác nó.
Tuy nhiên, một lỗ hổng authentication bypass trong cùng sản phẩm (CVE-2023-28461, 9.8) đã bị khai thác vào năm ngoái bởi một nhóm gián điệp mạng có liên quan đến Trung Quốc tên là MirrorFace, nhóm này có lịch sử nhắm mục tiêu vào các tổ chức Nhật Bản từ ít nhất năm 2019. Mặc dù vậy, hiện tại không có bằng chứng nào cho thấy threat actor này có thể liên quan đến đợt tấn công mới nhất.
Lỗ hổng ảnh hưởng đến các phiên bản ArrayOS 9.4.5.8 trở về trước và đã được khắc phục trong phiên bản ArrayOS 9.4.5.9. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn. Trong trường hợp patching không phải là một lựa chọn ngay lập tức, JPCERT/CC khuyên nên tắt các dịch vụ DesktopDirect và sử dụng URL filtering để từ chối truy cập vào các URL chứa dấu chấm phẩy.
