-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2025-0024
                                                             JPCERT/CC
                                                     2025-12-03（公開）
                                                     2025-12-05（更新）

                <<< JPCERT/CC Alert 2025-12-03 >>>

Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2025/at250024.html


I. 概要
Array Networksが提供するArray AGシリーズのDesktopDirect機能には、コマ
ンドインジェクションの脆弱性があります。本脆弱性を悪用されると、攻撃者
によって任意のコマンドを実行される可能性があります。本情報の公表時点で、
本脆弱性に対するCVE番号は採番されていません。

Array Networksは、本脆弱性を修正するバージョンを2025年5月にリリースし
ていますが、JPCERT/CCでは、2025年8月以降に本脆弱性を悪用する攻撃が国内
で発生し、当該製品にWebshellが設置されるなどの被害につながった事案を確
認しています。

対象となる製品を利用している場合、Array Networksや販売代理店が提供する
情報などを参考に、侵害調査、対策および回避策の適用を行ってください。


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。

  - ArrayOS AG 9.4.5.8およびそれ以前のバージョン

リモートデスクトップアクセス環境を提供する機能である「DesktopDirect」
が有効な場合に本脆弱性の影響を受けます。


III. 対策
Array Networksは本脆弱性を修正したバージョンへのアップデートを推奨して
います。十分なテストを実施の上、修正済みバージョンの適用をご検討くださ
い。

  - ArrayOS AG 9.4.5.9

なお、修正バージョン適用にあたって製品の再起動を行うとログが消失する可
能性がありますので、後述の「V. 攻撃に関する情報」に記載する調査に際し
ては、事前に保全された上でログ調査を行うことをご検討ください。


IV. 回避策
Array Networksは本脆弱性に対して、次の回避策を提供しています。修正済み
バージョンの適用ができない場合は、Array Networksが提供する情報を確認の
上、回避策の適用をご検討ください。

  - DesktopDirectの機能を使用していない場合は、すべてのDesktopDirectサービスを無効にする
  - URLフィルターを使用して";"を含むURLでのアクセスを拒否する


V. 攻撃に関する情報
JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組
織から受領しています。対象となる製品を利用している場合、Array Networks
や販売代理店から提供されている情報をご確認の上、同脆弱性を悪用した攻撃
を受けた可能性があるか、調査いただくことを推奨します。

  攻撃時期：2025年8月以降
  攻撃内容：webshell設置※、同製品上で新規ユーザー作成、同製品経由での内部侵入など
  攻撃痕跡：攻撃通信の送信元IPアドレス

    - 194.233.100[.]138

  ※ JPCERT/CCが確認している事案では、"/webapp/"を含むパスにphpファイルのwebshellの設置を試みるコマンドが実行されていました。


VI. 参考情報
    X - Array Support@ArraySupport
    Array OS release 9.4.5.9 for the Array AG 1000 series is now available for download.
    https://x.com/ArraySupport/status/1921373397533032590


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2025-12-03 公開
2025-12-05 「V. 攻撃に関する情報」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----

iQIcBAEBCAAGBQJpMpoxAAoJEKUOCs1Y8SQyGWgP/3rqrYsPW6bmwzEggkeAbgju
sT7AKe0jG1utgzIMOzQTMqHSCakjEiRG50/lcaBTTaInLKaPingIbV248pemrRnZ
mU8e7SHR9NhmDFfxy9ipeRJMuzb9DCiQR3QKCHK0q1lVUgwJmVLpIDrdV51eUlKx
/3YFb/TuobbRCmn9cMsE92V5TZlzc7rZpD3WmmKNVNlrcjxSZeAlZUjjqN/hnFCt
wMv2JQo6Tj9yJIxpsSI8JHKG95PjLHXMxVeBoxacI3Dj6Kwmm9EjcA9N9XgA7ext
XHyGPvgx4XoXliJo/tpErRmNZ4od3UbeJYaRQBu70jpLsKwMORP0tiJCpD7vXQBE
0tRNutm3VCyfzg7n1BH08mu3x1Xd2IPlmWlFpj2pge4csItpw4pdQBl0fkbwT8DU
VBIPxf37s036wnx1yGqRAJ9S4VithmANh2dmbm2Wtyep46u8nm3+TExrT6aumN6A
g1OugBFxlipHG5D/NatpQuGt5k3Kohdo84ipMp/v73gK+T+BeJulgd6g1OWwLyqI
Vs3xvPf+HclMnskA/qmiCaWnVIy2MEBG9m+AK5rqtBzlFDYqLMaN7oQyxhwUZFuG
XEeDcRQlXvZgzsBWobheIWPiouLEWBcDl9DNwr8G48AeIhL81NEXy6f2zUnY1D90
rvaFconP2463gcCglKVK
=4ReD
-----END PGP SIGNATURE-----