# CVE-2025-66644 - Array Networks ArrayOS AG — Injeção de Comando > [!critical] P1 — CRÍTICO | CVSS 9.8 | CISA KEV | Exploração Ativa Confirmada > Injeção de comando no Array Networks ArrayOS AG explorada ativamente entre agosto e dezembro de 2025. Sem autenticação necessária, permite execução remota de código arbitrário. **CVSS:** 9.8 (Crítico) · **EPSS:** Confirmado ativo · **Vendor:** Array Networks · **Patch:** Disponível · **CISA KEV:** Adicionado em 2025-12-08 ## Resumo **CVE-2025-66644** é uma vulnerabilidade de injeção de comando no sistema operacional ArrayOS AG, utilizado em dispositivos SSL VPN da Array Networks. A falha afeta versões anteriores à 9.4.5.9 e permite que atacantes remotos não autenticados executem comandos arbitrários no sistema operacional subjacente. A vulnerabilidade foi confirmadamente explorada em ambiente real entre agosto e dezembro de 2025, indicando atividade de ameaça persistente visando infraestrutura de acesso remoto corporativo. A inclusão no catálogo CISA KEV em 8 de dezembro de 2025 confirma a exploração ativa e eleva a prioridade de remediação. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - Vetor: Rede, sem autenticação, sem interação do usuário - CISA KEV: Adicionado em 2025-12-08 - Exploração ativa: Confirmada (agosto–dezembro 2025) ## Impacto Técnico A falha permite injeção de comandos do sistema operacional através de parâmetros não sanitizados no ArrayOS AG. Um atacante que explore com sucesso pode: - **Execução de código remoto:** executar comandos arbitrários como root no dispositivo SSL VPN - **Acesso total ao dispositivo:** comprometer credenciais VPN, certificados e configurações de rede - **Pivô de rede:** utilizar o dispositivo comprometido como ponto de entrada para redes corporativas - **Persistência:** instalar backdoors ou modificar configurações de acesso remoto **Impacto para organizações LATAM/Brasil:** Dispositivos SSL VPN da Array Networks são utilizados em ambientes corporativos de médio e grande porte. A exploração confirma o padrão de atores de ameaça visando dispositivos de acesso remoto como vetor inicial — tendência documentada em [[market/sectors/governo]] e [[market/sectors/financeiro]]. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Array Networks | ArrayOS AG | < 9.4.5.9 | 9.4.5.9+ | | Array Networks | AG1000, AG1000T, AG1000v5 | < 9.4.5.9 | 9.4.5.9+ | | Array Networks | AG1100, AG1100v5, AG1150 | < 9.4.5.9 | 9.4.5.9+ | | Array Networks | AG1200, AG1200v5, AG1500 | < 9.4.5.9 | 9.4.5.9+ | | Array Networks | AG1500FIPS, AG1500v5, AG1600 | < 9.4.5.9 | 9.4.5.9+ | | Array Networks | AG1600v5, VXAG | < 9.4.5.9 | 9.4.5.9+ | ## Patch e Mitigação **Patch oficial:** - Advisory: [Array Networks Security Advisory - CVE-2025-66644](https://support.arraynetworks.net) - Versão corrigida: ArrayOS AG 9.4.5.9 - Data de lançamento do patch: dezembro 2025 **Como aplicar:** 1. Verificar versão atual: acessar painel de administração do ArrayOS AG 2. Fazer backup da configuração atual antes de atualizar 3. Aplicar atualização via portal de suporte da Array Networks 4. Reiniciar o dispositivo após aplicação do patch 5. Verificar integridade da configuração pós-update **Mitigações temporárias** (quando patch não é imediatamente possível): - Restringir acesso à interface de administração por IP de origem (ACL) - Isolar o dispositivo da internet direta quando possível - Monitorar logs de autenticação e acesso administrativo - Ativar alertas para execução de comandos incomuns ## Exploração Ativa **Status atual:** Exploração ativa confirmada em ambiente real **Evidências de uso em ataques:** - NVD/CISA: Exploração confirmada em ambiente real — agosto a dezembro de 2025 - CISA KEV: Adicionado ao catálogo em 2025-12-08 (confirmação de exploração ativa) ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em 2025-12-08. - **Ação recomendada:** Atualizar imediatamente para ArrayOS AG 9.4.5.9 ou superior - **Referência:** [CISA KEV - CVE-2025-66644](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 9.8 (Crítico) | | Vetor de Ataque | Rede (Network) | | Complexidade | Baixa (Low) | | Privilégios Necessários | Nenhum (None) | | Interação do Usuário | Nenhuma (None) | | Escopo | Inalterado (Unchanged) | | Impacto Confidencialidade | Alto (High) | | Impacto Integridade | Alto (High) | | Impacto Disponibilidade | Alto (High) | ## Contexto de Ameaça A vulnerabilidade segue o padrão de exploração de dispositivos de acesso remoto (VPN, SSL gateways) como vetor inicial de intrusão — técnica [[T1190 - Exploit Public-Facing Application|T1190]]. Dispositivos SSL VPN são alvos de alta prioridade para grupos APT e operadores de ransomware. ### TTPs MITRE ATT&CK - [[T1190 - Exploit Public-Facing Application|T1190]] — Exploração de aplicação de acesso público - [[T1059 - Command and Scripting Interpreter|T1059]] — Injeção de comandos via OS ## Relevância LATAM/Brasil Dispositivos SSL VPN são amplamente utilizados em organizações brasileiras para acesso remoto corporativo, especialmente após a expansão do trabalho híbrido. A exploração ativa deste vetor é consistente com campanhas de ransomware que visam o setor [[market/sectors/governo|governo]] e [[market/sectors/financeiro|financeiro]] no Brasil. ## IoCs | Tipo | Valor | Fonte | Confiança | |------|-------|-------|-----------| | — | Não disponíveis publicamente | — | — | ## Referências - [NVD - CVE-2025-66644](https://nvd.nist.gov/vuln/detail/CVE-2025-66644) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Array Networks Support](https://support.arraynetworks.net) ## Notas Relacionadas **TTPs relacionadas:** [[T1190 - Exploit Public-Facing Application]] · [[T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[financeiro]] · [[governo]] · [[telecomunicacoes]]