Der Hersteller Array Networks warnt vor einer kritischen Sicherheitslücke im SSL-VPN-Gateway von Array AG und vxAG-Produkten. Bösartige Akteure könnten ohne vorherige Anmeldung aus dem Netz Schadcode ausführen. Zudem könnten Angreifer eine Lücke in Array APV missbrauchen, um aus der Ferne Befehle einzuschleusen.

Array Networks: Mehrere Produktreihen mit Sicherheitslücken

In einer Sicherheitsmeldung erklärt der Hersteller, dass die Schwachstelle im SSL-VPN-Gateway kritisch sei. Betroffen ist demnach ArrayOS AG 9.4.0.481 oder ältere Versionen von Array AG- und vxAG-Geräten. Eine aktualisierte Fassung soll "bald verfügbar" sein und die zugrundeliegenden Fehler korrigieren (CVE-2023-28461).

In den APV-Produkten wurde eine Schwachstelle durch Befehlsinjektion entdeckt. Nachdem sich Angreifer mit Administratorrechten bei einer betroffenen Appliance angemeldet haben, können sie durch Senden eines manipulierten Pakets beliebigen Shell-Code ausführen (CVE-2023-28460). Dieses Problem wurde in ArrayOS APV 8.6.1.262 oder neuer und 10.4.2.93 oder neuer behoben, schreibt das Unternehmen in einer weiteren Sicherheitsmeldung.

Die aktualisierte Software soll im Support-Portal von Array Networks zum Herunterladen bereitstehen. Die Webseite verlangt nach Zugangsdaten, die IT-Verantwortliche dafür zur Hand haben sollten.

Auch andere Hersteller haben gelegentlich mit Schwachstellen in ihren SSL-VPN-Gateways zu kämpfen, die Cyberkriminelle oftmals zügig angreifen. So hatte etwa Sonicwall im vergangenen Jahr eine ähnliche Lücke zu schließen, oder Angreifer haben Cyber-Attacken auf derartige Sicherheitslecks in Fortinets SSL-VPN ausgeführt, noch bevor Sicherheits-Updates dafür zur Verfügung standen.

(dmk)