Hack Alerta

Exploração em dispositivos Array AG: atores instalam webshells e criam usuários rogue

Por Redação Hack Alerta Publicado em 04/12/2025 22:01 Cyber ataques Tempo de leitura: 3 min

Reportagem aponta exploração ativa de uma vulnerabilidade de command injection em dispositivos Array AG Series VPN, com implantação de webshells e criação de contas administrativas rogue. A publicação não lista CVE nem versões afetadas; recomenda auditoria e mitigação imediata.

Pesquisadores reportam exploração ativa de uma falha de command injection em dispositivos Array AG Series VPN, usada por atacantes para plantar webshells e criar contas de usuário rogue. A campanha está em andamento e evidencia risco em appliances de VPN mal protegidos.

Descoberta e escopo

De acordo com a cobertura, threat actors estão explorando uma vulnerabilidade de command injection nos appliances Array AG Series VPN para obter execução remota e, em seguida, implantar webshells e criar usuários não autorizados. A matéria descreve a exploração ativa, mas não lista um CVE nem versões afetadas na publicação consultada.

Vetor e exploração

As fontes indicam que a vulnerabilidade permite execução de comandos no sistema afetado — um vetor típico para implantações persistentes como webshells. A exploração levou à criação de contas rogue, o que facilita persistência e acesso não autorizado subsequente. A publicação não detalha a superfície de ataque (endereços expostos, interfaces afetadas) nem indicadores de comprometimento específicos.

Impacto e setores afetados

Appliances VPN são componentes críticos de conectividade remota e autenticação de rede; comprometimentos que permitem criação de contas e webshells podem resultar em movimento lateral, exfiltração e acesso persistente. A matéria relata atividade ativa de invasores, mas não fornece números de dispositivos afetados nem identificação de vítimas por setor.

Mitigações e recomendações

  • Isolar dispositivos afetados e revisar logs de autenticação e administração para detectar contas criadas recentemente.
  • Aplicar patches e atualizações oficiais assim que disponíveis — a publicação não cita um patch específico nem um CVE.
  • Verificar presença de webshells em paths comuns e revisar integridade de binários/arquivos de configuração.
  • Reforçar controles de acesso administrativo: restringir acesso à interface de gerenciamento por IP, usar autenticação forte e segregar redes de gerenciamento.

Limites das informações

O relatório não traz detalhes técnicos como identificador CVE, versões afetadas, indicadores de comprometimento (hashes, paths) ou atribuição de grupos. As fontes descrevem a exploração e efeitos observados (webshells, contas rogue), mas deixam em aberto a extensão e vetores precisos.

Recomendações práticas imediatas

Administradores de appliances Array AG Series devem priorizar auditoria de configurações e revisão de logs administrativos; limitar exposição ao management plane; preparar resposta para remoção de webshells e rotação de credenciais administrativas. Caso não haja patch público informado, mitigação de perímetro e monitoramento são cruciais.

Referência

Fonte do relato: BleepingComputer, reportagem sobre exploração ativa em Array AG Series VPN.

Baseado em publicação original de BleepingComputer
Tags: #array-ag #vpn #command-injection #webshell #contas-rogue #appliances #seguranca #threat-actors #auditoria
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar