ArrayOS AG

Die Schwachstelle betrifft das Betriebssystem ArrayOS AG von Array Networks, das auf den Zugangs-Gateways des Herstellers läuft. Es handelt sich um eine OS-Befehlsinjektion: Durch unzureichend geprüfte Eingaben kann ein Angreifer eigene Betriebssystembefehle in das Gerät einschleusen, die dieses dann ausführt. Auf diesem Weg lassen sich beliebige Befehle auf dem zugrunde liegenden System absetzen, wodurch der Angreifer die Kontrolle über das Gerät erlangen kann. Da es sich um ein Gateway zur Netzwerkanbindung handelt, das typischerweise direkt aus dem Internet erreichbar ist, bildet es einen besonders exponierten Angriffspunkt. Die Lücke wurde bereits aktiv ausgenutzt: Angreifer haben sie über einen längeren Zeitraum in realen Attacken eingesetzt. Betroffen sind Geräte mit den älteren Ständen des Betriebssystems, bevor der Hersteller die Korrektur bereitgestellt hat.