-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2023-0020
                                                             JPCERT/CC
                                                     2023-09-14（新規）
                                                     2023-09-22（更新）

                  <<< JPCERT/CC Alert 2023-09-14 >>>

Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起

            https://www.jpcert.or.jp/at/2023/at230020.html


I. 概要
JPCERT/CCでは、2022年5月以降、サイバーセキュリティ協議会の活動などを
通じて、Array Networks Array AGシリーズの脆弱性を悪用したと思われる
複数の標的型サイバー攻撃を断続的に確認しています。
後述のとおり、複数の攻撃グループ／攻撃活動が本製品の脆弱性を悪用して
いると考えられ、また、国内のみならず海外拠点も標的となっているため、
自組織の海外拠点における対策や侵害有無の調査も推奨します。

攻撃活動が確認され始める前後および期間中には、本製品において、次の脆弱
性が公表および修正されています。

  - CVE-2022-42897（2022年4月公表、2022年9月修正）
  - CVE-2023-28461（2023年3月公表、2023年3月修正）


II. 対象
対象となる製品およびバージョンは次のとおりです。

  - CVE-2022-42897：ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン
  - CVE-2023-28461：ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン


III. 対策
Array Networksから本脆弱性を修正したバージョンへのアップグレードが推
奨されています。修正済みバージョンの適用を行ってください。
なお、修正バージョン適用にあたって製品の再起動を行うとログが消失する
可能性がありますので、後述の「IV. 攻撃に関する情報」に記載する調査に
際しては、事前に保全された上でログ調査を行うことをご検討ください。

同製品に対する日常のアクセスについてログを確認し、不審なアクセスがな
いか注意するとともに、送信元を制限できる場合にはアクセス制限を施すな
どの対策を進めてください。


IV. 攻撃に関する情報
JPCERT/CCでは、サイバーセキュリティ協議会の活動などを通じて、本脆弱性
を悪用したと思われる複数の標的型サイバー攻撃活動を確認しています。確
認されたペイロードからは、攻撃者は脆弱性を悪用する上での製品内部に関
する情報を認識していると考えられ、対策済みの脆弱性以外を悪用する攻撃
が発生することも念頭において、ログの監視やアクセス制限などの対策を施
すことが望ましいと考えられます。
なお、本情報の公開時点（2023年9月14日）では、本脆弱性を実証するコー
ド（PoC）などの流通は確認できていませんが、すでに複数の攻撃グループが
本製品の脆弱性を悪用可能な状態にあると思われ、警戒が必要です。

JPCERT/CCがこれまで確認している攻撃の時期や概要、攻撃で使われた通信先
やファイルなどの情報を次に記します。同製品を利用している場合、次の情
報を参考に、可能な範囲にて侵害有無の調査などを推奨します。
なお、インディケータ情報の一部は[.]に置き換えています。通信先や送信元
に誤って接続することがないようご注意ください。

〇 攻撃活動（1）
  攻撃時期：2022年5月頃
  概要：Array AG SSL-VPN機器の脆弱性悪用と考えられる事案

〇 攻撃活動（2）
  攻撃時期：2023年4月中旬から5月上旬
  概要：Array AG SSL-VPN機器におけるリモートコード実行の脆弱性（CVE-2023-28461）悪用の疑い
  インディケータ情報：攻撃通信の送信元IPアドレス

    - 35[.]229[.]146[.]251
    - 173[.]249[.]201[.]243
    - 45[.]32[.]49[.]130

〇 攻撃活動（3）
  攻撃時期：2023年4月24日および25日
  概要：Array AG SSL-VPN機器におけるリモートコード実行の脆弱性（CVE-2023-28461）悪用
  インディケータ情報：攻撃通信の送信元IPアドレス（＊印2点は前項（2）と同一）

    - 35[.]229[.]146[.]251 ＊
    - 173[.]249[.]201[.]243 ＊
    - 45[.]32[.]252[.]239
    - 45[.]66[.]217[.]106

〇 攻撃活動（4）
  攻撃時期：2023年4月から5月頃
  概要：Array AG SSL-VPN機器におけるリモートコード実行の脆弱性（CVE-2023-28461）悪用の疑い
  インディケータ情報：攻撃通信の送信元IPアドレス
  ※ 後者についてはC2サーバーとしても使用されていたことが確認されており、当該IPは送信元だけでなく通信先にもなる可能性があります

    - 45[.]32[.]33[.]120 （Array AGを経由し不正アクセスを行った通信元）
    - 95[.]85[.]91[.]15 （CVE-2023-28461を悪用するリクエストの送信元）

〇 攻撃活動（5）
  攻撃時期：2023年6月下旬頃
  概要：Array AG SSL-VPN機器におけるリモートコード実行の脆弱性（CVE-2023-28461）悪用の疑い
  インディケータ情報：調査で確認されたファイル名: libcef.dll

    - SHA1: dd129338ad6ea56a71271617e24d3671e6d38ea1
    - SHA256: cea161659b332f5e0a5252a622b3371d9f72500552d99f9fcf7d1345c5d9c329
    - MD5: c4fdeba999ecd83fea7a4df3c8e08604
    - 通信先： ns1[.]tlsart[.]com

〇 攻撃活動（6）
  攻撃時期：不明、サイバーセキュリティ協議会第一類構成員より2023年8月に情報提供
  概要：Array AG SSL-VPN機器におけるコマンドインジェクションの脆弱性（CVE-2022-42897）およびリモートコード実行の脆弱性（CVE-2023-28461）悪用の疑い


V. 参考情報
    Array Networks
    Array Networks Security Advisory: Remote Injection Vulnerability in Array VPN Product (ID-119617).
    https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/documentation/FieldNotice/Array_Networks_Security_Advisory_Remote_Injection_Vulnerability_in_Array_VPN_Product_ID-11961_%20V2.0.pdf
    ※ Array Networksが2022年4月に公表したアドバイザリ情報
    ※ Array AG/vxAGにおけるコマンドインジェクションの脆弱性に関する内容で、CVE番号は掲載されていないものの、CVE-2022-42897公表の時期と近く、脆弱性の内容からCVE-2022-42897と関係する可能性がある

    CVE
    CVE-2022-42897
    https://www.cve.org/CVERecord?id=CVE-2022-42897

    Array Networks
    Array Networks Security Advisory: Arbitrary File Read Vulnerability in Array AG/vxAG
    https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/documentation/FieldNotice/Array_Networks_Security_Advisory_for_Remote_Code_Execution_Vulnerability_AG.pdf
    ※ Array Networksが2023年3月に公表したアドバイザリ情報
    ※ Array AG/vxAGにおけるリモートコード実行の脆弱性に関する内容で、CVE-2023-28461が採番されている

    CVE
    CVE-2023-28461
    https://www.cve.org/CVERecord?id=CVE-2023-28461


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2023-09-14 初版
2023-09-22 「I. 概要」の日付の表記を修正

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=Xcwt
-----END PGP SIGNATURE-----