Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication.
Produits et versions concernés:
- ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée.
État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138.
Correctif et notes opérationnelles: Array Networks a publié le correctif en mai 2025 (ArrayOS AG 9.4.5.9). JPCERT/CC recommande d’appliquer la version corrigée après tests. Attention: un redémarrage consécutif à l’application du correctif peut entraîner la disparition des logs; JPCERT/CC suggère de conserver puis examiner les journaux avant la mise à jour.
Mesures de contournement (si le correctif ne peut pas être appliqué):
- Désactiver tous les services DesktopDirect s’ils ne sont pas utilisés.
- Utiliser le filtrage d’URL pour refuser l’accès aux URLs contenant le motif ";.
IOCs et TTPs:
- IOC IP: 194.233.100[.]138
- Indicateur de webshell: fichiers PHP tentés sous un chemin incluant /webapp/
- TTPs: injection de commandes, déploiement de webshell, création de nouveaux utilisateurs, mouvement interne via l’équipement.
Cet article est une alerte de sécurité émise par JPCERT/CC visant à informer des vulnérabilités et compromissions observées et à orienter l’investigation des organisations potentiellement affectées.
🔗 Source originale : https://www.jpcert.or.jp/at/2025/at250024.html