Hack Alerta

Falha em ArrayOS AG é explorada ativamente para instalar web shells

Por Redação Hack Alerta Publicado em 05/12/2025 08:04 Riscos e Ameaças Tempo de leitura: 2 min

Uma falha de injeção de comando no recurso DesktopDirect do ArrayOS AG (≤9.4.5.8) está sendo explorada ativamente para instalar web shells e criar contas não autorizadas; Array disponibilizou correção (9.4.5.9) e JPCERT documentou campanhas desde agosto de 2025.

Pesquisadores e JPCERT/CC documentaram exploração ativa de uma falha de injeção de comando na função DesktopDirect do ArrayOS AG, com implantação de web shells e criação de contas não autorizadas.

Descoberta e escopo

A vulnerabilidade afeta instalações ArrayOS AG na versão 9.4.5.8 e anteriores, especialmente quando a função DesktopDirect está habilitada. Relatos indicam exploração confirmada desde agosto de 2025, com campanhas concentradas inicialmente no Japão.

Mecanismo da exploração

Trata-se de uma falha de injeção de comando na interface DesktopDirect: requisições especialmente construídas contendo sequências de comando (por exemplo, abuso de ponto e vírgula em URLs) permitem que operadores executem instruções arbitrárias no appliance. Em incidentes confirmados, o comando tentou escrever um webshell PHP em /ca/aproxy/webapp/, criando um backdoor persistente no dispositivo.

Fontes indicam que atacantes instalaram web shells, criaram contas não autorizadas e estabeleceram pontos de apoio para movimentação interna.

Indicadores e infraestrutura

O tráfego de ataque foi associado, em pelo menos um caso, ao endereço IP 194.233.100[.]138, embora as análises ressaltem que este pode ser apenas um node entre uma infraestrutura mais ampla.

Mitigações e recomendações imediatas

Array Networks disponibilizou correção (versão 9.4.5.9) em maio de 2025. Medidas imediatas descritas incluem: atualizar para 9.4.5.9; desabilitar DesktopDirect onde não seja imprescindível; preservar logs antes de reiniciar o dispositivo (reboot pode causar perda de evidências forenses); e monitorar tentativas de criação de arquivos PHP em caminhos típicos do appliance.

Impacto

Appliances de acesso remoto e gateways corporativos com DesktopDirect habilitado e sem atualização enfrentam risco de comprometimento que pode permitir pivoteamento para a rede interna, exfiltração e estabelecimento de persistência.

Limitações das informações

Não há, nas comunicações públicas utilizadas, um CVE atribuído ao problema no momento do relatório. Detalhes sobre escala global das infecções e lista de vítimas específicas não foram divulgados nas fontes consultadas.

Próximos passos operacionais

Equipes de segurança devem priorizar a verificação de versões do ArrayOS, auditoria de contas locais e integridade de arquivos web no appliance, além de ações de containment e coleta de evidências caso haja sinais de comprometimento.

Baseado em publicação original de Cyber Security News
Tags: #arrayos #array-networks #desktopdirect #webshell #jpcert #9.4.5.9 #patch #vpn #gateway
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar