JPCERT コーディネーションセンター

Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起

各位

JPCERT-AT-2023-0020
JPCERT/CC
2023-09-14(新規)
2023-09-22(更新)

JPCERT/CC Alert 2023-09-14

Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起

https://www.jpcert.or.jp/at/2023/at230020.html


I. 概要JPCERT/CCでは、2022年5月以降、サイバーセキュリティ協議会の活動などを通じて、Array Networks Array AGシリーズの脆弱性を悪用したと思われる複数の標的型サイバー攻撃を断続的に確認しています。後述のとおり、複数の攻撃グループ/攻撃活動が本製品の脆弱性を悪用していると考えられ、また、国内のみならず海外拠点も標的となっているため、自組織の海外拠点における対策や侵害有無の調査も推奨します。

攻撃活動が確認され始める前後および期間中には、本製品において、次の脆弱性が公表および修正されています。

- CVE-2022-42897(2022年4月公表、2022年9月修正)
- CVE-2023-28461(2023年3月公表、2023年3月修正)


II. 対象対象となる製品およびバージョンは次のとおりです。

- CVE-2022-42897:ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン
- CVE-2023-28461:ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン


III. 対策Array Networksから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用を行ってください。なお、修正バージョン適用にあたって製品の再起動を行うとログが消失する可能性がありますので、後述の「IV. 攻撃に関する情報」に記載する調査に際しては、事前に保全された上でログ調査を行うことをご検討ください。

同製品に対する日常のアクセスについてログを確認し、不審なアクセスがないか注意するとともに、送信元を制限できる場合にはアクセス制限を施すなどの対策を進めてください。


IV. 攻撃に関する情報JPCERT/CCでは、サイバーセキュリティ協議会の活動などを通じて、本脆弱性を悪用したと思われる複数の標的型サイバー攻撃活動を確認しています。確認されたペイロードからは、攻撃者は脆弱性を悪用する上での製品内部に関する情報を認識していると考えられ、対策済みの脆弱性以外を悪用する攻撃が発生することも念頭において、ログの監視やアクセス制限などの対策を施すことが望ましいと考えられます。なお、本情報の公開時点(2023年9月14日)では、本脆弱性を実証するコード(PoC)などの流通は確認できていませんが、すでに複数の攻撃グループが本製品の脆弱性を悪用可能な状態にあると思われ、警戒が必要です。

JPCERT/CCがこれまで確認している攻撃の時期や概要、攻撃で使われた通信先やファイルなどの情報を次に記します。同製品を利用している場合、次の情報を参考に、可能な範囲にて侵害有無の調査などを推奨します。なお、インディケータ情報の一部は[.]に置き換えています。通信先や送信元に誤って接続することがないようご注意ください。

〇 攻撃活動(1)
攻撃時期:2022年5月頃
概要:Array AG SSL-VPN機器の脆弱性悪用と考えられる事案

〇 攻撃活動(2)
攻撃時期:2023年4月中旬から5月上旬
概要:Array AG SSL-VPN機器におけるリモートコード実行の脆弱性(CVE-2023-28461)悪用の疑い
インディケータ情報:攻撃通信の送信元IPアドレス

- 35[.]229[.]146[.]251
- 173[.]249[.]201[.]243
- 45[.]32[.]49[.]130

〇 攻撃活動(3)
攻撃時期:2023年4月24日および25日
概要:Array AG SSL-VPN機器におけるリモートコード実行の脆弱性(CVE-2023-28461)悪用
インディケータ情報:攻撃通信の送信元IPアドレス(*印2点は前項(2)と同一)

- 35[.]229[.]146[.]251 *
- 173[.]249[.]201[.]243 *
- 45[.]32[.]252[.]239
- 45[.]66[.]217[.]106

〇 攻撃活動(4)
攻撃時期:2023年4月から5月頃
概要:Array AG SSL-VPN機器におけるリモートコード実行の脆弱性(CVE-2023-28461)悪用の疑い
インディケータ情報:攻撃通信の送信元IPアドレス
※ 後者についてはC2サーバーとしても使用されていたことが確認されており、当該IPは送信元だけでなく通信先にもなる可能性があります

- 45[.]32[.]33[.]120 (Array AGを経由し不正アクセスを行った通信元)
- 95[.]85[.]91[.]15 (CVE-2023-28461を悪用するリクエストの送信元)

〇 攻撃活動(5)
攻撃時期:2023年6月下旬頃
概要:Array AG SSL-VPN機器におけるリモートコード実行の脆弱性(CVE-2023-28461)悪用の疑い
インディケータ情報:調査で確認されたファイル名: libcef.dll

- SHA1: dd129338ad6ea56a71271617e24d3671e6d38ea1
- SHA256: cea161659b332f5e0a5252a622b3371d9f72500552d99f9fcf7d1345c5d9c329
- MD5: c4fdeba999ecd83fea7a4df3c8e08604
- 通信先: ns1[.]tlsart[.]com

〇 攻撃活動(6)
攻撃時期:不明、サイバーセキュリティ協議会第一類構成員より2023年8月に情報提供
概要:Array AG SSL-VPN機器におけるコマンドインジェクションの脆弱性(CVE-2022-42897)およびリモートコード実行の脆弱性(CVE-2023-28461)悪用の疑い


V. 参考情報
Array Networks
Array Networks Security Advisory: Remote Injection Vulnerability in Array VPN Product (ID-119617).
https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/documentation/FieldNotice/Array_Networks_Security_Advisory_Remote_Injection_Vulnerability_in_Array_VPN_Product_ID-11961_%20V2.0.pdf
※ Array Networksが2022年4月に公表したアドバイザリ情報
※ Array AG/vxAGにおけるコマンドインジェクションの脆弱性に関する内容で、CVE番号は掲載されていないものの、CVE-2022-42897公表の時期と近く、脆弱性の内容からCVE-2022-42897と関係する可能性がある

CVE
CVE-2022-42897
https://www.cve.org/CVERecord?id=CVE-2022-42897

Array Networks
Array Networks Security Advisory: Arbitrary File Read Vulnerability in Array AG/vxAG
https://support.arraynetworks.net/prx/001/http/supportportal.arraynetworks.net/documentation/FieldNotice/Array_Networks_Security_Advisory_for_Remote_Code_Execution_Vulnerability_AG.pdf
※ Array Networksが2023年3月に公表したアドバイザリ情報
※ Array AG/vxAGにおけるリモートコード実行の脆弱性に関する内容で、CVE-2023-28461が採番されている

CVE
CVE-2023-28461
https://www.cve.org/CVERecord?id=CVE-2023-28461


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

________
改訂履歴
2023-09-14 初版
2023-09-22 「I. 概要」の日付の表記を修正

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter