Se ha explotado una vulnerabilidad de inyección de comandos en las puertas de enlace de acceso seguro de la serie Array Networks AG desde agosto de 2025, según una alerta emitida esta semana por JPCERT/CC.
La vulnerabilidad, que no tiene un identificador CVE, fue parcheada por la empresa el 11 de mayo de 2025. Se origina en DesktopDirect de Array, una solución de acceso a escritorio remoto que permite a los usuarios acceder de forma segura a sus computadoras de trabajo desde cualquier ubicación.
“La explotación de esta vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios”, dijo JPCERT/CC. “Esta vulnerabilidad afecta a los sistemas que tienen habilitada la función 'DesktopDirect', que permite el acceso al escritorio remoto”.
La agencia dijo que confirmó incidentes en Japón donde la falla fue explotada para lanzar web shells en dispositivos vulnerables después de agosto de 2025. Los ataques se originaron desde la dirección IP “194.233.100(.)138”.
Actualmente no hay detalles disponibles sobre la escala de los ataques, cómo se utilizó la vulnerabilidad como arma y la identidad de los actores de amenazas que la explotan.
Sin embargo, el año pasado, un grupo de ciberespionaje vinculado a China llamado MirrorFace aprovechó una falla de omisión de autenticación en el mismo producto (CVE-2023-28461, 9.8), que ha estado apuntando a organizaciones japonesas desde al menos 2019.
La vulnerabilidad afecta a las versiones 9.4.5.8 y anteriores de ArrayOS y se solucionó en la versión 9.4.5.9 de ArrayOS. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para mitigar posibles amenazas. En caso de que la aplicación de parches no sea una opción inmediata, se recomienda desactivar los servicios DesktopDirect y utilizar filtros de URL para denegar el acceso a las URL que contengan un punto y coma, según JPCERT/CC.
About The Author
