一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月14日、Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起を発表した。影響を受けるシステムは以下の通り。
CVE-2022-42897:ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン
CVE-2023-28461:ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン
JPCERT/CCでは2022年5月以降、Array Networks Array AGシリーズの脆弱性を悪用したと推測される複数の標的型サイバー攻撃を断続的に確認しており、複数の攻撃グループが本製品の脆弱性を悪用していると考えられ、国内のみならず海外拠点も標的となっているため、自組織の海外拠点における対策や侵害有無の調査を推奨している。
Array Networksでは、本脆弱性を修正したバージョンへのアップグレードを推奨しており、JVNでも修正済みバージョンの適用を行うよう呼びかけている。
