Array Networks SSL VPN Gateway’de kritik sızıntı

Bakec

New member
Üretici Array Ağları, Array AG ve vxAG ürünlerinin SSL VPN ağ geçidinde kritik bir güvenlik açığı konusunda uyarıda bulunuyor. Kötü niyetli aktörler, önceden kayıt olmadan ağdan kötü amaçlı kod yürütebilir. Ek olarak, saldırganlar komutları uzaktan enjekte etmek için Array APV’deki bir güvenlik açığından yararlanabilir.


Dizi Ağları: Güvenlik açıklarına sahip çeşitli ürün grupları


Bir güvenlik bildiriminde üretici, SSL VPN ağ geçidindeki güvenlik açığının kritik olduğunu açıklar. Cihazlar ArrayOS AG 9.4.0.481 veya Array AG ve vxAG’nin önceki sürümleri etkilenir. Güncellenmiş bir sürümün “yakında çıkacağı” söyleniyor ve temeldeki hataları düzeltiyor (CVE-2023-28461).

APV ürünlerinde bir komut enjeksiyon güvenlik açığı bulundu. Saldırganlar, yönetici ayrıcalıklarıyla etkilenen bir cihazda oturum açtıktan sonra hazırlanmış bir paket (CVE-2023-28460) göndererek rasgele kabuk kodu çalıştırabilir. Bu sorun, ArrayOS APV 8.6.1.262 veya sonraki sürümlerinde ve 10.4.2.93 veya sonraki sürümlerinde giderildi, şirket başka bir güvenlik danışma belgesinde yazıyor.


Güncellenmiş yazılım, Array Networks Destek Portalından indirilebilir. Web sitesi, BT yöneticilerinin el altında olması gereken erişim verilerini gerektirir.

Diğer üreticiler de ara sıra SSL VPN ağ geçitlerinde, siber suçluların genellikle hızlı bir şekilde saldırdığı güvenlik açıklarıyla mücadele etmek zorunda kalıyor. Örneğin, Sonicwall geçen yıl benzer bir açığı kapatmak zorunda kaldı veya saldırganlar, daha güvenlik güncellemeleri mevcut olmadan Fortinet’in SSL VPN’indeki bu tür güvenlik açıklarına yönelik siber saldırılar başlattı.


(dmk)



Haberin Sonu
 
Üst