Desktopdirect

Uma grave vulnerabilidade foi descoberta em dispositivos da série AG da Array Networks, que utilizam VPN. Essa falha permite que hackers injetem comandos maliciosos, instalando web shells e criando usuários não autorizados nos sistemas afetados. A vulnerabilidade foi corrigida em uma atualização em maio de 2025, mas a falta de um identificador dificultou o rastreamento da falha. Especialistas do Japão alertaram que a vulnerabilidade está sendo explorada desde agosto, com ataques direcionados a organizações locais. Os incidentes envolvem a execução de comandos que permitem o acesso remoto ao servidor comprometido, resultando em controle total do sistema. A falha afeta modelos AG 9.4.5.8 e versões anteriores, especialmente em ambientes corporativos que utilizam o recurso DesktopDirect, que facilita o acesso remoto. A JPCERT recomendou que os usuários desativem o DesktopDirect e implementem filtros de URL até que novas atualizações sejam disponibilizadas. A Array Networks ainda não se pronunciou sobre os incidentes ou se haverá uma nova correção.

Uma vulnerabilidade de injeção de comando nos gateways de acesso seguro da Array Networks AG Series está sendo explorada ativamente desde agosto de 2025, conforme alerta emitido pelo JPCERT/CC. Essa falha, que não possui um identificador CVE, foi corrigida pela empresa em 11 de maio de 2025. A vulnerabilidade está relacionada ao DesktopDirect, uma solução de acesso remoto que permite aos usuários acessar seus computadores de trabalho de forma segura. A exploração dessa falha pode permitir que atacantes executem comandos arbitrários em sistemas onde o recurso DesktopDirect está habilitado. O JPCERT/CC confirmou incidentes no Japão que utilizaram essa vulnerabilidade para implantar web shells em dispositivos vulneráveis, com ataques originados do endereço IP 194.233.100[.]138. Embora uma falha de bypass de autenticação no mesmo produto tenha sido explorada anteriormente por um grupo de espionagem cibernética vinculado à China, não há evidências que conectem os atacantes atuais a esse grupo. A vulnerabilidade afeta versões do ArrayOS 9.4.5.8 e anteriores, e os usuários são aconselhados a aplicar as atualizações mais recentes para mitigar ameaças potenciais. Caso a aplicação de patches não seja uma opção imediata, recomenda-se desativar os serviços do DesktopDirect e utilizar filtragem de URL para bloquear acessos a URLs que contenham ponto e vírgula.