Alert!

Kritisches Leck in SSL-VPN-Gateway von Array Networks

Die SSL-VPN-Gateways von Array Networks haben eine kritische Sicherheitslücke. Angreifer könnten aus dem Netz ohne Authentifizierung Code einschleusen.

In Pocket speichern vorlesen Druckansicht

(Bild: asharkyu/Shutterstock.com)

Lesezeit: 2 Min.
Von

Der Hersteller Array Networks warnt vor einer kritischen Sicherheitslücke im SSL-VPN-Gateway von Array AG und vxAG-Produkten. Bösartige Akteure könnten ohne vorherige Anmeldung aus dem Netz Schadcode ausführen. Zudem könnten Angreifer eine Lücke in Array APV missbrauchen, um aus der Ferne Befehle einzuschleusen.

In einer Sicherheitsmeldung erklärt der Hersteller, dass die Schwachstelle im SSL-VPN-Gateway kritisch sei. Betroffen ist demnach ArrayOS AG 9.4.0.481 oder ältere Versionen von Array AG- und vxAG-Geräten. Eine aktualisierte Fassung soll "bald verfügbar" sein und die zugrundeliegenden Fehler korrigieren (CVE-2023-28461).

In den APV-Produkten wurde eine Schwachstelle durch Befehlsinjektion entdeckt. Nachdem sich Angreifer mit Administratorrechten bei einer betroffenen Appliance angemeldet haben, können sie durch Senden eines manipulierten Pakets beliebigen Shell-Code ausführen (CVE-2023-28460). Dieses Problem wurde in ArrayOS APV 8.6.1.262 oder neuer und 10.4.2.93 oder neuer behoben, schreibt das Unternehmen in einer weiteren Sicherheitsmeldung.

Die aktualisierte Software soll im Support-Portal von Array Networks zum Herunterladen bereitstehen. Die Webseite verlangt nach Zugangsdaten, die IT-Verantwortliche dafür zur Hand haben sollten.

Auch andere Hersteller haben gelegentlich mit Schwachstellen in ihren SSL-VPN-Gateways zu kämpfen, die Cyberkriminelle oftmals zügig angreifen. So hatte etwa Sonicwall im vergangenen Jahr eine ähnliche Lücke zu schließen, oder Angreifer haben Cyber-Attacken auf derartige Sicherheitslecks in Fortinets SSL-VPN ausgeführt, noch bevor Sicherheits-Updates dafür zur Verfügung standen.

(dmk)