Peretas Eksploitasi Celah ArrayOS AG VPN untuk Tanam Webshell

Peretas diketahui memanfaatkan kerentanan command injection pada perangkat Array AG Series VPN untuk menanam webshell dan membuat akun pengguna ilegal. Celah ini telah diperbaiki oleh Array Networks melalui pembaruan keamanan pada Mei lalu, namun belum memiliki identifikasi resmi (CVE), sehingga menyulitkan pelacakan dan manajemen patch.

Peringatan dari JPCERT

Japan Computer Emergency Response Team (JPCERT) melaporkan bahwa serangan telah berlangsung sejak Agustus 2025, menargetkan organisasi di Jepang. Serangan berasal dari alamat IP 194.233.100[.]138, yang juga digunakan untuk komunikasi.

Dalam insiden yang dikonfirmasi, peretas mengeksekusi perintah untuk menempatkan file PHP webshell di jalur /ca/aproxy/webapp/.

Versi yang Terdampak

Kerentanan ini memengaruhi ArrayOS AG 9.4.5.8 dan versi sebelumnya, termasuk perangkat keras AG Series serta virtual appliances dengan fitur DesktopDirect aktif.

JPCERT menyebutkan bahwa ArrayOS versi 9.4.5.9 telah menutup celah ini. Bagi organisasi yang belum bisa memperbarui, disarankan langkah mitigasi berikut:

• Menonaktifkan semua layanan DesktopDirect jika tidak digunakan.
• Menggunakan URL filtering untuk memblokir akses ke URL yang mengandung tanda titik koma (semicolon).

Risiko Global

Array Networks AG Series merupakan secure access gateway berbasis SSL VPN yang digunakan oleh perusahaan besar untuk akses jarak jauh ke jaringan, aplikasi, desktop, dan sumber daya cloud.

Peneliti keamanan Yutaka Sejiyama dari Macnica menemukan 1.831 instance ArrayAG aktif di seluruh dunia, terutama di Tiongkok, Jepang, dan Amerika Serikat. Ia mengonfirmasi setidaknya 11 host dengan fitur DesktopDirect aktif, namun jumlah sebenarnya kemungkinan lebih besar.

Sejiyama menambahkan bahwa karena basis pengguna produk ini terkonsentrasi di Asia, vendor keamanan di luar kawasan kurang memberikan perhatian terhadap serangan yang sedang berlangsung.

Status Resmi

Hingga kini, Array Networks belum memberikan jawaban apakah akan merilis CVE-ID dan official advisory untuk kerentanan yang sedang dieksploitasi.

Sebagai catatan, tahun lalu CISA memperingatkan eksploitasi aktif terhadap CVE-2023-28461, kerentanan eksekusi kode kritis pada Array Networks AG dan vxAG ArrayOS.