Una vulnerabilidad de inyección de comandos en las puertas de enlace de acceso seguro de la serie Array Networks AG ha sido explotada desde agosto de 2025, según una alerta emitida por JPCERT/CC esta semana.
La vulnerabilidad, que no tiene un identificador CVE, fue abordada por la empresa el 11 de mayo de 2025. Tiene su origen en DesktopDirect de Array, una solución de acceso a escritorio remoto que permite a los usuarios acceder de forma segura a sus computadoras de trabajo desde cualquier ubicación.
«La explotación de esta vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios», dijo JPCERT/CC. «Esta vulnerabilidad afecta a los sistemas donde está habilitada la función ‘DesktopDirect’, que proporciona acceso a escritorio remoto».
La agencia dijo que confirmó incidentes en Japón que aprovecharon la deficiencia después de agosto de 2025 para lanzar web shells en dispositivos susceptibles. Los ataques se originaron desde la dirección IP «194.233.100(.)138».
Actualmente no hay detalles disponibles sobre la escala de los ataques, el uso de la falla como arma y la identidad de los actores de amenazas que la explotan.
Sin embargo, el año pasado un grupo de ciberespionaje vinculado a China llamado MirrorFace aprovechó una falla de omisión de autenticación en el mismo producto (CVE-2023-28461, puntuación CVSS: 9.8), que tiene un historial de atacar a organizaciones japonesas desde al menos 2019. Dicho esto, no hay evidencia que sugiera que en esta etapa el actor de amenazas pueda estar vinculado con la última oleada de ataques.
La vulnerabilidad afecta a las versiones 9.4.5.8 y anteriores de ArrayOS y se ha solucionado en la versión 9.4.5.9 de ArrayOS. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para mitigar posibles amenazas. En caso de que aplicar parches no sea una opción inmediata, se recomienda desactivar los servicios DesktopDirect y utilizar el filtrado de URL para denegar el acceso a las URL que contienen un punto y coma, dijo JPCERT/CC.
