ISGroup Conseil en Cybersécurité

Grave vulnérabilité RCE dans Array Networks AG/vxAG (CVE-2023-28461) activement exploitée

L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis une alerte concernant l’exploitation active d’une vulnérabilité critique d’exécution de code à distance (RCE), CVE-2023-28461, dans les produits Access Gateway (AG) et Virtual Secure Access Gateway (vxAG) d’Array Networks. Selon les rapports, plus de 440 000 hôtes exposés à Internet dans le monde pourraient être vulnérables aux attaques, soulignant l’impact étendu du problème. Des activités d’exploitation ciblant des agences gouvernementales et des organisations du secteur des technologies avancées ont été observées.

ProduitArray Networks
Date28/11/2024 10:11:20
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La CVE-2023-28461 est une vulnérabilité critique avec un score CVSS de 9.8 qui permet aux attaquants de contourner l’authentification et d’exécuter du code arbitraire ou d’explorer le système de fichiers de la passerelle SSL VPN en manipulant l’attribut flags dans les en-têtes HTTP.

Produits concernés :

  • Produits Array Networks AG/vxAG avec système ArrayOS AG version 9.x.

Campagnes d’attaque :

  • La vulnérabilité a été exploitée par Earth Kasha (lié au groupe APT10), conjointement avec d’autres failles telles que CVE-2023-45727 et CVE-2023-27997, ciblant des organisations au Japon, à Taïwan et en Inde. Les attaquants ont utilisé la vulnérabilité pour installer des backdoors telles que Cobalt Strike, LodeInfo et NoopDoor afin de maintenir la persistance et de se déplacer latéralement dans les réseaux compromis.

Disponibilité du correctif :

  • Array Networks a publié un correctif dans la version ArrayOS AG 9.4.0.484, annoncé en mars 2023.

Recommandations

  1. Application immédiate du correctif :

    • Mettre à jour vers ArrayOS AG version 9.4.0.484 ou ultérieure via le portail de support d’Array Networks.
    • Les agences fédérales doivent se conformer à la Directive Opérationnelle Contraignante (BOD) 22-01 de la CISA et appliquer le correctif avant le 16 décembre.

  2. Renforcement du réseau :

    • Restreindre l’accès aux passerelles SSL VPN uniquement aux adresses IP et réseaux de confiance.
    • Utiliser des pare-feu ou des VPN pour réduire l’exposition.
    • Surveiller les journaux (logs) pour détecter des activités suspectes, telles que des accès ou des tentatives d’exécution non autorisées.

  3. Détection avancée des menaces :

    • Rechercher des indicateurs de compromission (IoC) tels que la présence de Cobalt Strike, LodeInfo ou NoopDoor.
    • Utiliser des outils EDR (Endpoint Detection and Response) pour identifier les activités suspectes associées aux menaces APT.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *