PR

ArrayOS AG VPN脆弱性悪用でWebシェル設置と不正ユーザー

Security

Source:https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-arrayos-ag-vpn-flaw-to-plant-webshells/

🛡 概要

日本国内を中心に、Array NetworksのAG Series(ArrayOS AG)SSL VPNでコマンド注入脆弱性が悪用され、攻撃者がPHP製のウェブシェルを配置し、機器上に不正ユーザーを作成する被害が確認されています。影響はArrayOS AG 9.4.5.8以前(AGハードウェア/仮想版)で、DesktopDirect機能が有効な環境が主な標的です。ベンダは9.4.5.9で修正を提供しているものの、本件にはCVE識別子が未付与で、パッチ管理の追跡が難しい状況です。JPCERT/CCは少なくとも8月以降の悪用を報告し、通信・攻撃元として 194.233.100[.]138 を挙げています。なお、昨年は別件としてCVE-2023-28461(ArrayOS AG/vxAGのRCE)が悪用されました。

🔍 技術詳細

攻撃はVPNポータルに対するHTTPリクエストのパラメータ処理不備を突くコマンド注入が起点です。JPCERT/CCは、URLにセミコロン(;)を含むアクセスの悪用を示唆しており、DesktopDirect関連のエンドポイントでユーザー入力がOSコマンドに不適切に連結される実装欠陥が疑われます。攻撃者はこの注入経路でシェルを実行し、次のような一連の行為を行います。

  • ファイル書き込み:/ca/aproxy/webapp/ 配下にPHPウェブシェルを配置(例:echo/curl/wget等でのペイロード投下)。
  • 永続化・横展開の起点:ウェブシェル経由で追加コマンド実行、設定改変、資格情報窃取、内部ネットワーク探索を継続。
  • 不正ユーザー作成:アプライアンス上のローカルアカウントや管理権限の作成により再侵入の足場を確保。
  • C2通信・偵察:外部IP(報告例:194.233.100[.]138)とHTTP(S)通信でコマンド発行、追加ツール転送。

SSL VPNアプライアンスには一般的なEDRが導入されないため、アプライアンス自身のアクセスログ、管理操作ログ、ファイルシステム監査、境界NWフローの相関が鍵となります。ArrayOS AGではDesktopDirectが無効であれば本経路の露出自体を減らせます。JPCERT/CCは更新が難しい場合の緩和策として、DesktopDirectの全停止、セミコロンを含むURLの遮断(URLフィルタやWAF)を推奨しています。

⚠ 影響

  • 機器乗っ取り:管理権限奪取、設定改変、証明書・セッション情報の窃取。
  • 内部侵入の足場:VPNを経由した社内資産への到達、横移動、データ流出。
  • 業務停止:認証基盤やリモートアクセス停止、インシデント対応・再構築コストの増大。

参考:CVE-2023-28461(別件のRCE)はCISAの既知悪用(KEV)に掲載される重大度Criticalの問題です。本稿のコマンド注入欠陥は別の不具合で、現時点でCVE未付与です。

🛠 対策

  • 最優先:ArrayOS AGを9.4.5.9へ更新。リリースノートの前提条件と再起動影響を確認。
  • 機能削減:DesktopDirectを未使用なら全サービスを無効化。
  • 一時緩和:WAF/リバースプロキシでセミコロン(;)を含むURLを遮断、疑わしいクエリをブロック。
  • 到達制御:管理UI・VPNポータルへの到達元を社内/特定IPに制限。管理面の多要素認証。
  • ログ強化:アプライアンスのsyslog出力を集中管理(少なくとも90日)、ファイル改変やユーザー作成の監査を有効化。
  • IOC対応:194.233.100[.]138 との通信を監視・遮断、該当期間のHTTPアクセスで /ca/aproxy/webapp/ への書き込み痕跡を点検。
  • 事後対応:侵害兆候があればバックアップ信頼性を確認し、クリーンビルドと証明書・管理資格情報の入れ替えを実施。

📌 SOC視点

  • HTTPアクセスログ:リクエストライン/パラメータに「;」を含むアクセス、DesktopDirect関連エンドポイントへの異常POST、短時間での大量404/500。
  • ファイル監査:/ca/aproxy/webapp/ 配下の新規PHP/不審拡張子、直近のmtime変更、所有者・権限の異常。
  • アカウント監査:新規/権限昇格ユーザーの作成、深夜帯の管理操作、失敗/成功ログインの地理的異常。
  • ネットワーク:アプライアンスから外部への異常なHTTP(S)アウトバウンド、特に 194.233.100[.]138 宛。DNSクエリの新規FQDNスパイク。
  • 相関狩り:ウェブシェル設置(書き込み)→即時の外向きC2→権限変更の一連イベントを連結検知。

📈 MITRE ATT&CK

  • TA0001 Initial Access: T1190 Exploit Public-Facing Application(VPNポータルのコマンド注入)。
  • TA0002 Execution: T1059 Command and Scripting Interpreter(OSコマンドの実行)。
  • TA0003 Persistence: T1505.003 Server Software Component: Web Shell(/ca/aproxy/webapp/ へのPHP設置)。
  • TA0003 Persistence: T1136 Create Account(不正ユーザー作成)。
  • TA0011 Command and Control: T1071.001 Web Protocols(HTTP(S)でのC2通信)。
  • TA0010 Exfiltration/TA0007 Discovery(ウェブシェル経由の内部探索・送出は派生)。
  • 根拠:JPCERT/CCの観測(ウェブシェル配置パス、不正ユーザー、特定IPとの通信)およびVPN機器の一般的侵害手口に整合。

🏢 組織規模別助言

  • 小規模(〜50名):まず9.4.5.9へ更新。DesktopDirect未使用なら無効化。UTM/WAFで「;」含むURL遮断。管理画面を社内VPN経由のみに制限。外部MSSPにログ監視を委託。
  • 中規模(50〜500名):変更凍結期間を調整し計画的パッチ適用。Syslog集中とアラートしきい値の最適化。脆弱性管理(CIS Control 7, 12, 16)を四半期レビュー。脅威ハンティングを月次運用に。
  • 大規模(500名〜):冗長構成で段階的ロールアウト。WAFに一時ルール(セミコロン/疑似コマンド列)を即時適用し、検出モード→遮断へ。境界EAST-WESTのフロー可視化、C2ドメイン・IPのブロック自動化。レッドチームでSSL VPN侵入シナリオを検証。

🔎 類似事例

  • CVE-2023-28461(ArrayOS AG/vxAGのRCE、CISA KEV掲載の重大度Critical)
  • CVE-2018-13379(Fortinet FortiOS SSL VPNの情報漏えい)
  • CVE-2024-3400(Palo Alto PAN-OS GlobalProtectのコマンド注入)
  • CVE-2024-21887 / CVE-2023-46805(Ivanti Connect Secureの脆弱性連鎖)
  • CVE-2020-3452(Cisco ASA/FTD WebVPNのパストラバーサル)
  • CVE-2021-20016(SonicWall SMA 100のSQLi)

🧭 次の一手

  • 自組織のArrayOS AGバージョンを棚卸しし、9.4.5.9へ更新可否とメンテナンス時間を確定。
  • DesktopDirectの利用有無を評価し、未使用なら即時停止。WAF/URLフィルタで「;」含むリクエスト遮断を設定。
  • 直近6か月のアクセス/管理/ファイルログを精査し、/ca/aproxy/webapp/ への書き込み、不正ユーザー作成、194.233.100[.]138 への通信を確認。
  • SSL VPNハードニングチェックリスト(到達制御、証明書/認証、監査ログ)を実施。
  • JPCERT/CCのアドバイザリ、ベンダのリリースノート、CISA KEVを定期監視し、パッチ適用SLAを見直す。