CVE-2023-28461

美国网络安全和基础设施安全局 (CISA) 已将影响 Array Networks AG 和 vxAG ArrayOS 的高严重性安全漏洞 CVE-2023-28461 添加到其已知漏洞 (KEV) 目录中。该漏洞的 CVSS 得分为 9.8,突出表明企业迫切需要解决这一被积极利用的威胁。

CVE-2023-28461 源自 ArrayOS(Array AG 和 vxAG 系列 SSL VPN 网关的操作系统)中一个关键功能的身份验证检查缺失。成功利用该漏洞后,未经认证的攻击者可远程读取敏感文件,并在易受攻击的设备上执行任意代码。这可能导致系统完全崩溃、数据外泄和基本服务中断。

该漏洞主要影响旧版本的软件,不会影响 Array Networks 的 AVX、APV、ASF 或运行 ArrayOS AG 10.x 版本的 AG/vxAG 系统。但是,运行 ArrayOS AG 9.x 版本(特别是 9.4.0.481 及更早版本)的产品容易受到攻击。

Array Networks 已发布 ArrayOS AG 9.4.0.484 版本来解决此漏洞。强烈建议企业立即将其受影响的设备更新到该版本。

对于无法立即实施补丁的组织,Array Networks 提供了临时缓解措施。这些措施涉及禁用特定功能,包括客户端安全、VPN 客户端自动升级和门户用户资源,以及实施黑名单规则以过滤恶意流量。这些变通方法的详细说明可在 Array Networks 支持门户网站上找到。

有证据表明,该漏洞正被积极利用,促使 CISA 发布指令,要求联邦机构在 2024 年 12 月 16 日前应用修复程序并实施应对措施。

文章原文链接:https://www.anquanke.com/post/id/302177