Array Networks製Array AGシリーズにおけるコマンドインジェクションの脆弱性について

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Array Networksが提供するArray AGシリーズは、同社で提供されているリモートアクセス製品です。

Array AGシリーズのDesktopDirect機能に、コマンドインジェクションの脆弱性が確認されています。
本脆弱性を悪用された場合、攻撃者によって任意のコマンドを実行されるおそれがあります。

Array Networksは、本脆弱性を修正するバージョンを2025年5月にリリースしているところですが、
2025年8月以降に、本脆弱性を悪用したと思われる攻撃が、国内で観測されたとの情報があります。

なお、攻撃者は同脆弱性を悪用して、phpのwebshellをシステムに設置する試みが確認されている事例もあるようです。

今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。

影響を受けるシステム

• ArrayOS AG 9.4.5.8およびそれ以前のバージョン

リモートデスクトップアクセスの環境を提供する「DesktopDirect」機能が有効な場合にこの脆弱性の影響を受けます。

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• ArrayOS AG 9.4.5.9

修正バージョンの適用にあたり、再起動を行うとログが消失する可能性があるとのことです。侵害調査のため、アップデートを実施する際は事前にログを保全することを推奨いたします。

2.脆弱性の暫定的な回避策

製品開発者によると、次の回避策を適用することで本脆弱性の影響を軽減できるとのことです。

• DesktopDirectの機能を使用していない場合は、すべてのDesktopDirectサービスを無効にする
• URLフィルターを使用して";"を含むURLでのアクセスを拒否する

3. 推奨対応

日本国内での悪用が観測されていることを踏まえ、本製品を利用している企業・組織は、悪用が生じていないかどうか、ログを調査することを推奨いたします。
本件の脆弱性を悪用している可能性があるものとして、以下のIP アドレスとの通信が確認されていますので、参考としてください。

• 194.233.100[.]138
• 37.19.205[.]178
• 64.62.197[.]197
• 64.62.197[.]208
• 64.62.197[.]107
• 64.62.197[.]111
• 64.62.197[.]117

なお、上記のIP アドレスについては、通信が観測されていたからといって、直ちに本件脆弱性が悪用されたと判断できるものではありません。
また、通信が確認された時点から、IP アドレスのホスト・所有者が現時点では変わっている可能性もありますので、ご留意ください。

調査の結果、当該IPアドレスとの通信が確認された場合は、以下の窓口まで情報提供いただけますと幸いです。

• IPA企業組織向けサイバーセキュリティ相談窓口

参考情報

• X - Array Support@ArraySupport