Aanvallers maken actief misbruik van een kwetsbaarheid in de ssl vpn gateways van Array Networks, zo waarschuwt het Amerikaanse cyberagentschap CISA. Eerder kwam ook al de Japanse overheid met een waarschuwing. Via de gateway kunnen organisaties onder andere een vpn-verbinding voor hun medewerkers opzetten, zodat die toegang tot interne systemen en applicaties hebben.

De gateway biedt een "DesktopDirect" functie waarmee medewerkers direct op hun werkstation kunnen inloggen. Een kwetsbaarheid in dit onderdeel maakt het mogelijk voor aanvallers om commando's op de gateway uit te voeren. Aanvallers gebruiken het beveiligingslek (CVE-2025-66644) voor het installeren van webshells. Via een webshell kan een aanvaller toegang tot een gecompromitteerd systeem behouden en verdere aanvallen uitvoeren.

Array Networks kwam in mei met een beveiligingsupdate voor het probleem. Volgens het Computer Emergency Response Team Coordination Center van de Japanse overheid (JPCERT/CC) maken aanvallers sinds augustus misbruik van de kwetsbaarheid. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt nu ook voor misbruik. Een jaar geleden liet het Amerikaanse cyberagentschap weten dat aanvallers een ander Array-lek bij aanvallen hadden ingezet.