11月25日美国网路安全暨基础设施安全局（CISA）发布公告，他们将重大层级的漏洞CVE-2023-28461列入已遭利用漏洞（KEV）清单，要求联邦机构必须在12月16日完成修补。

这项漏洞存在于安瑞科技（Array Networks）Array AG系列SSL VPN设备，以及虚拟化版本vxAG，原因是重要功能缺乏身分验证机制造成，攻击者有机会利用漏洞读取SSL VPN闸道的本机文件，或是执行任意程序码，CVSS风险达到9.8，影响9.4.0.481以前版本的作业系统。

一旦攻击者利用这项漏洞，就有机会远端执行任意程序码，他们可在未经身分验证的情况下，藉由HTTP标头特定标籤属性，浏览闸道的文件系统。安瑞于去年3月9日公布这项漏洞，并于同月17日提供修补程序。

虽然CISA并未透露攻击者如何利用这项漏洞，不过这项资安公告发布的前几天，趋势科技公布中国骇客组织Earth Kasha的最新一波攻击行动里，其中一项用来取得初始入侵管道的SSL VPN漏洞，就是CVE-2023-28461。

针对这项漏洞，我们也进一步向安瑞确认，该公司表示当时在他们接获通报后，立即展开深入调查，并启动应急程序，快速修复漏洞，他们在3月发布的新版作业系统9.4.0.484版已解决问题，并通知客户更新。他们的技术团队也提供支援，协助客户完成升级。