JPCERT-AT-2025-0024
JPCERT/CC
2025-12-03

I. 概要

Array Networksが提供するArray AGシリーズのDesktopDirect機能には、コマンドインジェクションの脆弱性があります。本脆弱性を悪用されると、攻撃者によって任意のコマンドを実行される可能性があります。本情報の公表時点で、本脆弱性に対するCVE番号は採番されていません。

Array Networksは、本脆弱性を修正するバージョンを2025年5月にリリースしていますが、JPCERT/CCでは、2025年8月以降に本脆弱性を悪用する攻撃が国内で発生し、当該製品にWebshellが設置されるなどの被害につながった事案を確認しています。

対象となる製品を利用している場合、Array Networksや販売代理店が提供する情報などを参考に、侵害調査、対策および回避策の適用を行ってください。

II. 対象

本脆弱性の対象となる製品およびバージョンは次のとおりです。

- ArrayOS AG 9.4.5.8およびそれ以前のバージョン

リモートデスクトップアクセス環境を提供する機能である「DesktopDirect」が有効な場合に本脆弱性の影響を受けます。

III. 対策

Array Networksは本脆弱性を修正したバージョンへのアップデートを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

- ArrayOS AG 9.4.5.9

なお、修正バージョン適用にあたって製品の再起動を行うとログが消失する可能性がありますので、後述の「V. 攻撃に関する情報」に記載する調査に際しては、事前に保全された上でログ調査を行うことをご検討ください。

IV. 回避策

Array Networksは本脆弱性に対して、次の回避策を提供しています。修正済みバージョンの適用ができない場合は、Array Networksが提供する情報を確認の上、回避策の適用をご検討ください。

- DesktopDirectの機能を使用していない場合は、すべてのDesktopDirectサービスを無効にする
- URLフィルターを使用して";"を含むURLでのアクセスを拒否する

V. 攻撃に関する情報

JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。対象となる製品を利用している場合、Array Networksや販売代理店から提供されている情報をご確認の上、同脆弱性を悪用した攻撃を受けた可能性があるか、調査いただくことを推奨します。

攻撃時期：2025年8月以降
攻撃内容：webshell設置※、同製品上で新規ユーザー作成、同製品経由での内部侵入など
攻撃痕跡：攻撃通信の送信元IPアドレス

- 194.233.100[.]138

※ JPCERT/CCが確認している事案では、"/ca/aproxy/webapp/"のパスにphpファイルのwebshellの設置を試みるコマンドが実行されていました。

VI. 参考情報

X - Array Support@ArraySupport
Array OS release 9.4.5.9 for the Array AG 1000 series is now available for download.
https://x.com/ArraySupport/status/1921373397533032590


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp