Una vulnerabilidad de inyección de comandos en las puertas de enlace de acceso seguro de la serie Array Networks AG ha sido explotada desde agosto de 2025, según una alerta emitida por JPCERT/CC esta semana.
La vulnerabilidad, que no tiene un identificador CVE, fue abordada por la empresa el 11 de mayo de 2025. Tiene su origen en DesktopDirect de Array, una solución de acceso a escritorio remoto que permite a los usuarios acceder de forma segura a sus computadoras de trabajo desde cualquier ubicación.
«La explotación de esta vulnerabilidad podría permitir a los atacantes ejecutar comandos arbitrarios», JPCERT/CC dicho. «Esta vulnerabilidad afecta a los sistemas donde está habilitada la función 'DesktopDirect', que proporciona acceso a escritorio remoto».
La agencia dijo que confirmó incidentes en Japón que aprovecharon la deficiencia después de agosto de 2025 para lanzar web shells en dispositivos susceptibles. Los ataques se han originado desde la dirección IP «194.233.100[.]138«.
Actualmente no hay detalles disponibles sobre la escala de los ataques, el uso de la falla como arma y la identidad de los actores de amenazas que la explotan.
Sin embargo, una falla de omisión de autenticación en el mismo producto (CVE-2023-28461puntuación CVSS: 9,8) fue explotado el año pasado por un grupo de ciberespionaje vinculado a China denominado cara de espejoque tiene un historial de atacar a organizaciones japonesas desde al menos 2019. Dicho esto, no hay evidencia en este momento que sugiera que el actor de la amenaza pueda estar vinculado con la última oleada de ataques.
La vulnerabilidad afecta a las versiones 9.4.5.8 y anteriores de ArrayOS y se ha solucionado en la versión 9.4.5.9 de ArrayOS. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para mitigar posibles amenazas. En caso de que aplicar parches no sea una opción inmediata, se recomienda desactivar los servicios DesktopDirect y utilizar el filtrado de URL para denegar el acceso a las URL que contienen un punto y coma, dijo JPCERT/CC.
Fallo ahora rastreado como CVE-2025-66644
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes dicho A la vulnerabilidad de inyección de comandos que afecta las puertas de enlace de acceso seguro de la serie Array Networks AG se le ha asignado el identificador CVE. CVE-2025-66644 (Puntuación CVSS: 7,2).
«Array Networks ArrayOS AG contiene una vulnerabilidad de inyección de comandos del sistema operativo que podría permitir a un atacante ejecutar comandos arbitrarios», dijo la agencia.
La vulnerabilidad se ha agregado a las vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones necesarias antes del 29 de diciembre de 2025.
(La historia se actualizó después de la publicación el 9 de diciembre de 2025 con detalles del CVE).
Fuente