CVE-2025-66644

Суть уязвимости

Уязвимость CVE-2025-66644 в продукте Array Networks ArrayOS AG представляет собой критический недостаток безопасности класса OS Command Injection (внедрение команд операционной системы). Проблема возникает из-за отсутствия или недостаточной фильтрации пользовательского ввода, который передается от веб-интерфейса или API управления напрямую в системную оболочку (shell) устройства. Успешная эксплуатация уязвимости позволяет злоумышленнику отправить специально сформированный запрос, содержащий вредоносные команды, которые будут выполнены на уровне операционной системы. Поскольку процессы управления сетевыми шлюзами часто работают с высокими привилегиями, это может привести к полной компрометации устройства, краже конфигурационных файлов, SSL-сертификатов, перехвату трафика и использованию шлюза в качестве плацдарма для развития атаки на внутреннюю сеть (Lateral Movement).

Как исправить

Единственным надежным способом устранения уязвимости является установка официального исправления (патча) или обновление прошивки ArrayOS AG до безопасной версии, выпущенной производителем. 1. Подключитесь к устройству через интерфейс командной строки (CLI) по SSH или через консольный кабель. 2. Проверьте текущую версию установленной операционной системы, чтобы определить, уязвима ли она:

show version

1. В обязательном порядке создайте резервную копию текущей конфигурации перед проведением любых работ:

write memory

1. Авторизуйтесь на официальном портале поддержки Array Networks.
2. Изучите Security Advisory, посвященный CVE-2025-66644, и скачайте рекомендованную версию прошивки (firmware).
3. Загрузите образ на устройство (через Web-интерфейс или по протоколам FTP/SCP согласно документации вендора).
4. Инициируйте процесс обновления системы и дождитесь автоматической перезагрузки шлюза.
5. После загрузки повторно выполните команду проверки версии и убедитесь, что система работает штатно.

Временные меры

Если оперативное обновление прошивки невозможно в связи с бизнес-процессами, необходимо срочно внедрить компенсирующие меры (Workarounds) для минимизации поверхности атаки. 1. Изолируйте интерфейсы управления (Web UI, SSH, XML-RPC). Категорически запрещается выставлять административные порты в публичный Интернет. 2. Настройте строгие списки контроля доступа (ACL) на вышестоящем маршрутизаторе или межсетевом экране, разрешив доступ к портам управления ArrayOS AG только с выделенных IP-адресов администраторов (Management VLAN). 3. Пример ограничения доступа к веб-интерфейсу управления (порт 443) на промежуточном Linux-шлюзе с помощью iptables (разрешаем только для IP 10.0.0.5):

iptables -A FORWARD -p tcp --dport 443 -d <IP_адрес_ArrayOS> -s 10.0.0.5 -j ACCEPT

iptables -A FORWARD -p tcp --dport 443 -d <IP_адрес_ArrayOS> -j DROP

1. Если перед интерфейсом управления установлен Web Application Firewall (WAF), активируйте или создайте сигнатуры для блокировки метасимволов командной оболочки (таких как ;, |, &&, ||, $(), `) в URI и теле HTTP-запросов.
2. Настройте пересылку журналов (Syslog) на централизованную SIEM-систему и настройте алерты на аномальные запросы к административному интерфейсу (например, ошибки 500 Internal Server Error, которые часто сопровождают попытки инъекций).