ArrayOS AG VPN Açığı ve Etkileri
Günümüzde siber güvenlik tehditleri giderek artmakta ve bu tehditlerin birçoğu, özellikle büyük organizasyonları hedef alarak ciddi zararlar verebilmektedir. Son dönemde, Array Networks’ün AG serisi VPN cihazlarındaki bir komut enjeksiyon açığı, siber saldırganlar tarafından webshell yerleştirmek ve sahte kullanıcılar oluşturmak amacıyla kötüye kullanılmaktadır. Bu durum, kurumların veri güvenliği açısından önemli bir tehdit oluşturmaktadır.
Açığın Teknik Detayları
Array Networks, Mayıs ayında bu açığı kapatan bir güvenlik güncellemesi yayımlamış olsa da, açık için herhangi bir tanımlayıcı atamamış olması, hatanın izlenmesi ve yamanması konusunu zorlaştırmaktadır. Japonya Acil Durum Bilgi ve Yanıt Ekibi (CERT), bu açığın en az Ağustos ayından beri kötüye kullanıldığını ve özellikle Japonya’daki organizasyonları hedef alan saldırılar düzenlendiğini bildirmiştir.
Saldırılar, belirli bir IP adresi üzerinden gerçekleşmektedir. Japonya CERT tarafından yapılan açıklamada, saldırganların /ca/aproxy/webapp/ dizinine bir PHP webshell dosyası yerleştirmeye çalıştığı tespit edilmiştir. Bu durum, siber güvenlik önlemlerini güçlendirmeyi zorunlu kılmaktadır.
Etkilenen Versiyonlar ve Çözüm Önerileri
Açık, ArrayOS AG 9.4.5.8 ve daha önceki versiyonları etkilerken, ‘DesktopDirect’ uzaktan erişim özelliği etkin olan AG serisi cihazlar için son derece tehlikeli bir durum oluşturmaktadır. Japonya CERT, eğer güncelleme yapmak mümkün değilse, aşağıdaki geçici çözümleri önermektedir:
- If the DesktopDirect feature is not in use, disable all DesktopDirect services
- Use URL filtering to block access to URLs containing a semicolon
Array Networks ve Pazar Durumu
Array Networks AG serisi, SSL VPN’lere dayalı güvenli erişim ağ geçitleri sunmaktadır. Bu cihazlar, büyük organizasyonların uzaktan veya mobil çalışma ihtiyaçlarını karşılamak için sıklıkla kullanılmaktadır. Macnica’nın güvenlik araştırmacısı Yutaka Sejiyama, dünya genelinde 1,831 ArrayAG örneği bulduğunu ve bu örneklerin çoğunun Çin, Japonya ve Amerika Birleşik Devletleri’nde yer aldığını belirtmiştir.
Sejiyama, en az 11 ana bilgisayarın ‘DesktopDirect’ özelliğinin etkin olduğunu doğrularken, daha fazla etkin ana bilgisayar olabileceğinin de altını çizmiştir. Özellikle Asya’daki kullanıcı bazının yoğunluğu nedeniyle dışındaki güvenlik kuruluşlarının bu konuya dikkat etmediği ifade edilmektedir.
Sonuç ve Önlemler
Array Networks, bu açığın CVE-ID’sinin yayımlanıp yayımlanmayacağına dair henüz bir açıklama yapmamıştır ve bu durum güvenlik uzmanları için belirsizlik yaratmaktadır. Geçtiğimiz yıl CISA, Array Networks AG ve vxAG ArrayOS’deki kritik uzaktan kod çalıştırma açığına yönelik aktif kötüye kullanımlara karşı da uyarıda bulunmuştur.
Siber güvenlik alanındaki tehditler her geçen gün artmakta ve firmaların bu gibi zayıf noktalara karşı daha dikkatli olması gerekmektedir. Güncel güvenlik yamalarını uygulamak ve proaktif siber savunma önlemleri almak, organizasyonların ağı güvenli tutmalarının en etkili yolu olacaktır.
