Puertas de acceso Array Networks AG Series bajo ataque activo por vulnerabilidad crítica de inyección de comandos

Introducción

Array Networks, proveedor reconocido de soluciones de acceso seguro y gateways de red, enfrenta una grave vulnerabilidad de inyección de comandos en sus dispositivos AG Series. Según una alerta emitida por JPCERT/CC esta semana, actores maliciosos han explotado activamente esta brecha desde agosto de 2025, comprometiendo la seguridad de organizaciones que dependen de estos dispositivos para acceso remoto seguro. Aunque la vulnerabilidad fue corregida el 11 de mayo de 2025, la ausencia de un identificador CVE dificulta su seguimiento y la respuesta coordinada en la comunidad de ciberseguridad.

Contexto del Incidente

La vulnerabilidad afecta específicamente al componente DesktopDirect de Array Networks AG Series, una solución diseñada para ofrecer acceso remoto seguro a escritorios corporativos y aplicaciones internas. DesktopDirect es ampliamente adoptado en sectores regulados y empresas con fuerza laboral distribuida, lo que amplifica el alcance potencial del incidente. JPCERT/CC ha confirmado campañas de explotación activa, evidenciando que los atacantes han identificado y aprovechado la debilidad antes de la publicación del parche.

Detalles Técnicos

A diferencia de los procedimientos habituales, la vulnerabilidad aún no cuenta con un identificador CVE asignado, lo que complica su documentación y coordinación intersectorial. Según la información técnica preliminar, el fallo reside en la validación insuficiente de entradas en DesktopDirect, permitiendo la ejecución remota de comandos arbitrarios con privilegios elevados en el sistema operativo subyacente.

– Vectores de Ataque: El vector principal es la explotación de parámetros no sanitizados en peticiones HTTP al portal de acceso remoto. Atacantes autenticados o, potencialmente, no autenticados pueden inyectar comandos shell a través de formularios web o APIs expuestas.
– Técnicas y Tácticas (MITRE ATT&CK): Esta vulnerabilidad se alinea con la técnica T1202 (Command and Scripting Interpreter) y el subvector de Initial Access T1190 (Exploit Public-Facing Application).
– Indicadores de Compromiso (IoC): JPCERT/CC ha observado artefactos asociados a la ejecución de scripts remotos, creación de usuarios administrativos no autorizados y conexiones outbound a infraestructuras de C2 (Command & Control) conocidas.
– Herramientas y Frameworks: Si bien no se ha divulgado un exploit público, investigadoras independientes han reproducido el ataque utilizando frameworks como Metasploit, lo que eleva el riesgo de aparición de exploits automatizados en repositorios públicos.

Impacto y Riesgos

La explotación exitosa de esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en los gateways afectados, comprometiendo la integridad y confidencialidad de la red interna. Entre los riesgos más destacados:

– Acceso persistente a recursos internos y pivoteo lateral hacia sistemas críticos.
– Exfiltración de credenciales y datos sensibles gestionados por el gateway.
– Instalación de puertas traseras (backdoors), ransomware o herramientas de movimiento lateral.
– Riesgos regulatorios y de cumplimiento en el marco de GDPR y la Directiva NIS2, especialmente en sectores críticos o infraestructuras esenciales.

De acuerdo con fuentes del sector, se estima que más del 30% de las instalaciones activas de AG Series no han aplicado el parche a fecha de la alerta, lo que podría traducirse en miles de dispositivos vulnerables expuestos en internet.

Medidas de Mitigación y Recomendaciones

Array Networks publicó el parche correctivo el 11 de mayo de 2025. Se recomienda a los equipos de seguridad:

1. Actualizar inmediatamente a la última versión disponible del firmware AG Series y DesktopDirect.
2. Revisar logs de acceso y actividad de administración en busca de señales de explotación (creación de usuarios, ejecución remota no justificada, conexiones salientes inusuales).
3. Bloquear el acceso externo al portal de administración y restringirlo por VPN o direcciones IP de confianza.
4. Implementar reglas de detección en SIEM/SOC para identificar patrones de explotación conocidos (comandos sospechosos, invocaciones de shells, tráfico anómalo).
5. Considerar la aplicación de medidas de hardening adicionales, como el refuerzo de autenticación multifactor (MFA) y la segmentación de redes de acceso remoto.

Opinión de Expertos

Desde el punto de vista de la comunidad de ciberseguridad, la ausencia de un CVE complica la respuesta coordinada. Según Marta Jiménez, analista principal de amenazas en una telco europea: “Sin un CVE, muchas empresas dependen exclusivamente de los comunicados del fabricante, lo que ralentiza la reacción y deja brechas sin cubrir. El hecho de que la explotación haya comenzado meses antes del parche subraya la importancia de la detección proactiva y la monitorización continua”.

Implicaciones para Empresas y Usuarios

Las empresas que utilizan AG Series deben considerar este incidente como una llamada de atención para revisar la postura de seguridad de sus soluciones de acceso remoto. Dada la criticidad de estos gateways en la arquitectura de red, un compromiso podría tener consecuencias devastadoras tanto operativas como legales. Además, la tendencia creciente en la explotación de soluciones de acceso remoto (VPN, RDP, gateways) confirma que este vector sigue siendo un objetivo prioritario para ransomware y APTs.

Conclusiones

Este incidente refuerza la necesidad de una gestión de vulnerabilidades ágil y coordinada, especialmente en dispositivos de acceso remoto críticos. La pronta aplicación de parches, la monitorización activa y la colaboración intersectorial son fundamentales para mitigar riesgos en un entorno de amenazas cada vez más sofisticado. La comunidad debe exigir mayor transparencia y agilidad en la asignación de identificadores CVE y la divulgación de información técnica relevante.

(Fuente: feeds.feedburner.com)