Координационный центр JPCERT/CC выпустил официальное предупреждение, подтверждающее наличие активных атак на шлюзы безопасного доступа Array Networks AG Series. Злоумышленники используют уязвимость типа «инъекция команд» (command injection) для компрометации систем. Несмотря на то, что исправление было выпущено производителем еще несколько месяцев назад, эксплуатация бреши в реальных условиях (in the wild) продолжается, создавая серьезные риски для корпоративной инфраструктуры.
Атаки нацелены на конкретный компонент системы — DesktopDirect. Это решение предназначено для обеспечения безопасного удаленного доступа к рабочему столу, что является критически важным для организаций с дистанционным режимом работы. Уязвимость позволяет злоумышленникам выполнять произвольные команды в системе, однако для успешной атаки функция DesktopDirect должна быть активирована на устройстве. Примечательно, что данной проблеме безопасности до сих пор не присвоен официальный идентификатор CVE.
Согласно данным разведки инцидентов, хакеры используют найденную брешь для установки веб-оболочек (web shells) на восприимчивые устройства, что обеспечивает им постоянный доступ к скомпрометированным сетям. География подтвержденных инцидентов на данный момент сосредоточена в Японии. Хронология событий показывает значительный временной разрыв: компания Array Networks выпустила патч еще 11 мая 2025 года, однако активные атаки начались лишь после августа 2025 года.
Технические специалисты выделили конкретный индикатор компрометации (IOC), связанный с текущей волной атак. Зафиксирована вредоносная активность, исходящая с IP-адреса 194.233.100[.]138. На текущем этапе личность атакующих, их мотивация или принадлежность к известным хакерским группировкам остаются неизвестными, так как данных о масштабе кампании пока недостаточно.
Под угрозой находятся устройства под управлением операционной системы ArrayOS версии 9.4.5.8 и более ранних версий. Для устранения уязвимости администраторам необходимо обновить программное обеспечение до исправленной версии ArrayOS 9.4.5.9. Это действие является основной рекомендованной мерой защиты, которую следует предпринять незамедлительно.
В случаях, когда немедленное обновление невозможно, предлагаются два временных обходных пути. Первый вариант заключается в полном отключении служб DesktopDirect. Второй вариант предполагает использование фильтрации URL-адресов для блокировки доступа к любым ссылкам, содержащим точку с запятой. Эти меры позволяют снизить риск эксплуатации уязвимости до установки официального обновления.
Эксперты также анализируют исторический контекст, упоминая предыдущую критическую уязвимость CVE-2023-28461, которая имела оценку CVSS 9.8. В прошлом году этот дефект обхода аутентификации активно эксплуатировался группировкой MirrorFace — связанной с Китаем группой кибершпионажа, которая целенаправленно атакует японские организации как минимум с 2019 года.
Тем не менее, специалисты подчеркивают важное различие между инцидентами. На данный момент не обнаружено никаких доказательств, связывающих MirrorFace с новыми атаками внедрения команд, зафиксированными после августа 2025 года. Текущая кампания рассматривается как отдельная угроза, не имеющая подтвержденной связи с активностью этой кибершпионской группы.
Изображение носит иллюстративный характер
Атаки нацелены на конкретный компонент системы — DesktopDirect. Это решение предназначено для обеспечения безопасного удаленного доступа к рабочему столу, что является критически важным для организаций с дистанционным режимом работы. Уязвимость позволяет злоумышленникам выполнять произвольные команды в системе, однако для успешной атаки функция DesktopDirect должна быть активирована на устройстве. Примечательно, что данной проблеме безопасности до сих пор не присвоен официальный идентификатор CVE.
Согласно данным разведки инцидентов, хакеры используют найденную брешь для установки веб-оболочек (web shells) на восприимчивые устройства, что обеспечивает им постоянный доступ к скомпрометированным сетям. География подтвержденных инцидентов на данный момент сосредоточена в Японии. Хронология событий показывает значительный временной разрыв: компания Array Networks выпустила патч еще 11 мая 2025 года, однако активные атаки начались лишь после августа 2025 года.
Технические специалисты выделили конкретный индикатор компрометации (IOC), связанный с текущей волной атак. Зафиксирована вредоносная активность, исходящая с IP-адреса 194.233.100[.]138. На текущем этапе личность атакующих, их мотивация или принадлежность к известным хакерским группировкам остаются неизвестными, так как данных о масштабе кампании пока недостаточно.
Под угрозой находятся устройства под управлением операционной системы ArrayOS версии 9.4.5.8 и более ранних версий. Для устранения уязвимости администраторам необходимо обновить программное обеспечение до исправленной версии ArrayOS 9.4.5.9. Это действие является основной рекомендованной мерой защиты, которую следует предпринять незамедлительно.
В случаях, когда немедленное обновление невозможно, предлагаются два временных обходных пути. Первый вариант заключается в полном отключении служб DesktopDirect. Второй вариант предполагает использование фильтрации URL-адресов для блокировки доступа к любым ссылкам, содержащим точку с запятой. Эти меры позволяют снизить риск эксплуатации уязвимости до установки официального обновления.
Эксперты также анализируют исторический контекст, упоминая предыдущую критическую уязвимость CVE-2023-28461, которая имела оценку CVSS 9.8. В прошлом году этот дефект обхода аутентификации активно эксплуатировался группировкой MirrorFace — связанной с Китаем группой кибершпионажа, которая целенаправленно атакует японские организации как минимум с 2019 года.
Тем не менее, специалисты подчеркивают важное различие между инцидентами. На данный момент не обнаружено никаких доказательств, связывающих MirrorFace с новыми атаками внедрения команд, зафиксированными после августа 2025 года. Текущая кампания рассматривается как отдельная угроза, не имеющая подтвержденной связи с активностью этой кибершпионской группы.
