Una vulnerabilidad de inyección de comandos en las puertas de enlace de golpe seguro de la serie Array Networks AG ha sido explotada desde agosto de 2025, según una alerta emitida por JPCERT/CC esta semana.
La vulnerabilidad, que no tiene un identificador CVE, fue abordada por la empresa el 11 de mayo de 2025. Tiene su origen en DesktopDirect de Array, una opción de golpe a escritorio remoto que permite a los usuarios aceptar de forma segura a sus computadoras de trabajo desde cualquier ubicación.
“La explotación de esta vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios”, dijo JPCERT/CC. “Esta vulnerabilidad afecta a los sistemas donde está habilitada la función ‘DesktopDirect’, que proporciona golpe a escritorio remoto”.
La agencia dijo que confirmó incidentes en Japón que aprovecharon la deficiencia luego de agosto de 2025 para editar web shells en dispositivos susceptibles. Los ataques se originaron desde la dirección IP “194.233.100(.)138”.
Actualmente no hay detalles disponibles sobre la escalera de los ataques, el uso de la error como pertrechos y la identidad de los actores de amenazas que la explotan.
Sin requisa, el año pasado un liga de ciberespionaje vinculado a China llamado MirrorFace aprovechó una error de omisión de autenticación en el mismo producto (CVE-2023-28461, puntuación CVSS: 9.8), que tiene un historial de atacar a organizaciones japonesas desde al menos 2019. Dicho esto, no hay evidencia que sugiera que en esta etapa el actor de amenazas pueda estar vinculado con la última oleada de ataques.
La vulnerabilidad afecta a las versiones 9.4.5.8 y anteriores de ArrayOS y se ha solucionado en la interpretación 9.4.5.9 de ArrayOS. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antaño posible para mitigar posibles amenazas. En caso de que aplicar parches no sea una opción inmediata, se recomienda desactivar los servicios DesktopDirect y utilizar el filtrado de URL para desestimar el golpe a las URL que contienen un punto y coma, dijo JPCERT/CC.
