JPCERT បញ្ជាក់ពីការវាយប្រហារ Active Command Injection លើ Array AG Gateways

ចំណុចខ្សោយនៃការចាក់បញ្ចូលពាក្យបញ្ជានៅក្នុងច្រកទ្វារចូលប្រើសុវត្ថិភាពរបស់ Array Networks AG Series ត្រូវបានគេកេងប្រវ័ញ្ចចាប់តាំងពីខែសីហា ឆ្នាំ២០២៥ នេះបើយោងតាមការជូនដំណឹងដែលចេញដោយ JPCERT/CC ក្នុងសប្តាហ៍នេះ។

ចំណុចខ្សោយនេះ ដែលមិនមានឧបករណ៍កំណត់អត្តសញ្ញាណ CVE ត្រូវបានក្រុមហ៊ុនដោះស្រាយនៅថ្ងៃទី១១ ខែឧសភា ឆ្នាំ២០២៥។ វាមានឫសគល់នៅក្នុង DesktopDirect របស់ Array ដែលជាដំណោះស្រាយចូលប្រើកុំព្យូទ័រពីចម្ងាយ ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលប្រើកុំព្យូទ័រការងាររបស់ពួកគេដោយសុវត្ថិភាពពីទីតាំងណាមួយ។

JPCERT/CC បាននិយាយថា "ការកេងប្រវ័ញ្ចចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត"។ "ចំណុចខ្សោយនេះប៉ះពាល់ដល់ប្រព័ន្ធដែលមុខងារ 'DesktopDirect' ដែលផ្តល់ការចូលប្រើកុំព្យូទ័រពីចម្ងាយ ត្រូវបានបើក"។

ទីភ្នាក់ងារនេះបាននិយាយថា ខ្លួនបានបញ្ជាក់ពីឧប្បត្តិហេតុនៅក្នុងប្រទេសជប៉ុន ដែលបានកេងប្រវ័ញ្ចចំណុចខ្វះខាតបន្ទាប់ពីខែសីហា ឆ្នាំ២០២៥ ដើម្បីទម្លាក់ web shell លើឧបករណ៍ដែលងាយរងគ្រោះ។ ការវាយប្រហារទាំងនេះមានប្រភពមកពីអាសយដ្ឋាន IP "194.233.100[.]138"។

បច្ចុប្បន្ននេះមិនទាន់មានព័ត៌មានលម្អិតអំពីទំហំនៃការវាយប្រហារ ការប្រើប្រាស់កំហុស និងអត្តសញ្ញាណរបស់អ្នកគំរាមកំហែងដែលកេងប្រវ័ញ្ចវានៅឡើយទេ។

ទោះជាយ៉ាងណាក៏ដោយ កំហុសឆ្គងនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុងផលិតផលដូចគ្នា (CVE-2023-28461, 9.8) ត្រូវបានកេងប្រវ័ញ្ចកាលពីឆ្នាំមុនដោយក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនដែលមានឈ្មោះថា MirrorFace ដែលមានប្រវត្តិនៃការកំណត់គោលដៅអង្គការជប៉ុនចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2019។ ដោយនិយាយដូច្នេះ មិនមានភស្តុតាងណាមួយដែលបង្ហាញថានៅដំណាក់កាលនេះ អ្នកគំរាមកំហែងអាចត្រូវបានភ្ជាប់ទៅនឹងការវាយប្រហារចុងក្រោយបំផុតនោះទេ។

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់កំណែ ArrayOS 9.4.5.8 និងមុននេះ ហើយត្រូវបានដោះស្រាយនៅក្នុងកំណែ ArrayOS 9.4.5.9។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យអនុវត្តការអាប់ដេតចុងក្រោយបំផុតឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន ដើម្បីកាត់បន្ថយការគំរាមកំហែងដែលអាចកើតមាន។ ក្នុងករណីដែលការបិទភ្ជាប់មិនមែនជាជម្រើសភ្លាមៗទេ វាត្រូវបានណែនាំឱ្យបិទសេវាកម្ម DesktopDirect និងប្រើការត្រង URL ដើម្បីបដិសេធការចូលប្រើ URL ដែលមានសញ្ញាក្បៀស JPCERT/CC បាននិយាយ។