Volver al blog
CVE-2025-66644 vulnerabilidad critica en ArrayOS AG VPN
7 min de lectura

CVE-2025-66644 vulnerabilidad critica en ArrayOS AG VPN

CVE-2025-66644 es una vulnerabilidad de inyeccion de comandos en ArrayOS AG antes de 9.4.5.9, explotada en VPN empresariales. Aprende a mitigarla.

cve-2025-66644arrayos-agarray-networksvpnciberseguridadinyeccion de comandosgateways-perimetralesvulnerabilidades

Los gateways VPN y appliances de acceso remoto se han convertido en uno de los targets favoritos para ataques dirigidos. CVE-2025-66644 es un ejemplo reciente: una vulnerabilidad de inyección de comandos en Array Networks ArrayOS AG que ya se está explotando activamente en entornos reales.nvd.nist.gov+1

En este artículo vemos qué es exactamente CVE-2025-66644, qué versiones están afectadas, cómo se está utilizando en ataques reales contra gateways VPN y qué medidas concretas puedes aplicar para reducir el riesgo en tu infraestructura.

Qué es CVE-2025-66644

Según el registro oficial de NVD y otras bases de datos de vulnerabilidades, CVE-2025-66644 es una vulnerabilidad de inyección de comandos del sistema operativo (CWE-78) en Array Networks ArrayOS AG.nvd.nist.gov+2cvedetails.com+2

En concreto:

A nivel de severidad, la puntuación CVSS 3.1 es 7.2 (ALTA), con vector:

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H cvedetails.com+2vicarius.io+2

Esto significa:

  • Ataque por red (AV:N) → explota servicios accesibles por red (habitualmente la interfaz web o features expuestos del appliance).

  • Baja complejidad (AC:L) → no requiere condiciones técnicas raras.

  • Requiere privilegios altos (PR:H) → el atacante necesita credenciales con alto nivel de acceso (por ejemplo una cuenta administrativa comprometida).

  • Sin interacción del usuario (UI:N) → no depende de que alguien haga clic en nada.

  • Impacto alto en confidencialidad, integridad y disponibilidad → control prácticamente total del equipo si se explota.

Versiones afectadas y contexto de ArrayOS AG

ArrayOS AG es el sistema operativo que utilizan ciertos appliances de Array Networks orientados a acceso remoto seguro, gateways VPN y servicios similares. Estos equipos suelen estar expuestos en el perímetro de la red para permitir acceso remoto de usuarios y administradores.cve.ics-csirt.io+1

La vulnerabilidad CVE-2025-66644 afecta a:

Array Networks ha publicado la versión ArrayOS AG 9.4.5.9 como release que corrige la vulnerabilidad en la serie AG (por ejemplo AG 1000).cvedetails.com+1

Además, la vulnerabilidad ya ha sido incluida en el Known Exploited Vulnerabilities Catalog (KEV) de CISA bajo el nombre “Array Networks ArrayOS AG OS Command Injection Vulnerability”.cisa.gov+1

Esto implica dos cosas claras:

  1. No estamos ante un bug teórico, sino un fallo con explotación confirmada.

  2. CISA exige a agencias federales estadounidenses aplicar mitigaciones antes de una fecha límite, lo que suele ser una buena señal de que todas las organizaciones deberían tomárselo en serio.cisa.gov+1

Como se explota CVE-2025-66644 a alto nivel

Los detalles completos del exploit no están publicados paso a paso, pero las fuentes coinciden en el patrón general:cve.ics-csirt.io+3cvedetails.com+3nvd.nist.gov+3

  1. El atacante consigue acceso a la interfaz o funcionalidad afectada de ArrayOS AG, normalmente con credenciales de alto nivel (por robo de contraseña, phishing, fuerza bruta o reutilización en otro servicio).

  2. Envía entradas especialmente manipuladas que contienen caracteres y comandos del sistema (por ejemplo a través de parámetros en una funcionalidad web o de administración).

  3. Debido a la falta de neutralización adecuada de esos caracteres (CWE-78), el sistema construye un comando del SO con esa entrada y lo ejecuta.cvedetails.com+2CVE Vulnerabilities Database+2

  4. El comando se ejecuta con privilegios elevados en el appliance, permitiendo:

    • Instalar una webshell en el dispositivo.Instagram+2Instagram+2

    • Descargar y ejecutar malware adicional.

    • Cambiar configuración de red, reglas de acceso y túneles VPN.

Informes públicos mencionan que el fallo se relaciona con funcionalidades como DesktopDirect, usadas para acceso remoto a escritorios internos, donde la explotación termina plantando una webshell en el dispositivo.Instagram+2Instagram+2

Impacto y riesgos para organizaciones

Aunque el CVSS no es “crítico” en la escala numérica, el contexto es lo que realmente asusta: hablamos de appliances de seguridad perimetral y VPN.

Los principales riesgos son:

Compromiso completo del gateway VPN

Una explotación exitosa puede dar al atacante control total sobre el dispositivo VPN:

Movimiento lateral dentro de la red

Desde un gateway VPN comprometido se pueden lanzar ataques hacia:

  • Servidores internos expuestos solo por la VPN.

  • Directorios activos, bases de datos y aplicaciones internas.

  • Otros dispositivos de red, aprovechando la posición privilegiada del appliance en el esquema de conectividad.

Informes de seguridad señalan que fallos en gateways de acceso remoto suelen usarse como primer paso en intrusiones más grandes, incluyendo despliegue de ransomware.cisa.gov+1

Secuestro de sesiones y espionaje de tráfico

Un atacante con control del dispositivo puede:

  • Interceptar o manipular tráfico que atraviesa el gateway (dependiendo de la arquitectura concreta).

  • Crear cuentas o túneles adicionales para mantener acceso oculto.

En resumen: si tu ArrayOS AG expuesto a Internet cae por CVE-2025-66644, no es solo “un fallo en un equipo”, es un acceso privilegiado a tu red interna.

Acciones de mitigacion recomendadas

1. Actualizar a ArrayOS AG 9.4.5.9 o superior

La recomendación principal y oficial es actualizar Array Networks ArrayOS AG a la versión 9.4.5.9 o posterior, donde el problema de inyección de comandos está corregido.X (formerly Twitter)+4cvedetails.com+4nvd.nist.gov+4

Pasos generales:

  • Verificar la versión actual de ArrayOS AG en el panel del appliance.

  • Descargar la versión 9.4.5.9 o posterior desde el portal de soporte de Array Networks.cvedetails.com+1

  • Planificar una ventana de mantenimiento para aplicar el upgrade y reiniciar el equipo.

  • Comprobar tras la actualización que el dispositivo está usando la nueva versión.

2. Seguir las directrices de CISA y del fabricante

CISA indica como acción requerida:

“Aplicar mitigaciones según las instrucciones del proveedor, seguir la guía aplicable de BOD 22-01 para servicios en la nube o descontinuar el uso del producto si no hay mitigaciones disponibles.”cvedetails.com+1

Traducción práctica:

  • Si puedes actualizar, hazlo ya.

  • Si no puedes actualizar por restricciones internas o compatibilidad, plantea seriamente reemplazar el appliance.

3. Restringir la exposicion de la interfaz de administracion

Independientemente del parche, es buena idea reducir la exposición:

  • Evitar que la interfaz de administración de ArrayOS AG esté abierta directamente a Internet.

  • Restringirla a:

    • Red de gestión interna.

    • Acceso vía VPN administrativa separada.

  • Limitar IPs de origen que pueden acceder a la consola de administración.

Esto no elimina la vulnerabilidad, pero reduce las oportunidades de explotación.

4. Revisar y endurecer autenticacion

Dado que el vector requiere privilegios altos, es clave proteger las cuentas:

  • Forzar contraseñas robustas y rotarlas si hay sospecha de compromiso.

  • Activar MFA para todas las cuentas administrativas.

  • Revisar si hay cuentas antiguas o innecesarias y eliminarlas.

Si alguien ya robó una cuenta admin, esta vulnerabilidad convierte ese robo en ejecución de comandos a nivel de sistema.

5. Monitorizar indicadores de compromiso

Varios reportes apuntan a la instalación de webshells después de explotar CVE-2025-66644.Instagram+2Instagram+2

Revisa:

  • Archivos o scripts sospechosos en el sistema de archivos del appliance.

  • Cambios no explicados en configuración de portales web, portales de acceso remoto o features como DesktopDirect.

  • Conexiones salientes inusuales desde el gateway hacia IPs externas desconocidas.

Si detectas actividad rara, no basta con aplicar el parche: toca entrar en modo respuesta a incidentes (forense, rotación de credenciales, revisión de logs, etc.).

Buenas practicas para gateways VPN y appliances de seguridad

Aunque este caso va de ArrayOS AG, las lecciones aplican casi igual a cualquier gateway VPN o firewall de nueva generación:

  • Mantener inventario claro de todos los appliances expuestos a Internet y sus versiones de firmware.

  • Configurar alertas automáticas para nuevas CVEs relevantes a tus productos (CISA KEV, RSS de NVD, etc.).cisa.gov+1

  • Minimizar la superficie de exposición:

    • Solo los puertos y servicios estrictamente necesarios.

    • Administración aislada en redes de gestión.

  • Revisar periódicamente que las copias de seguridad de configuración existen y funcionan, para poder actualizar o reemplazar equipos sin drama.

  • Probar planes de recuperación: qué pasa si un gateway VPN clave cae o se considera comprometido.

Cuanto más crítica es la posición del dispositivo en la red, más agresiva debe ser la política de parches y mitigaciones.

Conclusion

CVE-2025-66644 no es un bug más perdido en una base de datos:

Si en tu entorno hay equipos con ArrayOS AG:

  1. Verifica versión y actualiza a 9.4.5.9 o superior.cvedetails.com+2dbugs.ptsecurity.com+2

  2. Endurece la autenticación y limita la exposición de la administración.

  3. Revisa indicios de compromiso si el dispositivo ha estado expuesto sin parche durante el periodo de explotación conocido.

Si quieres tener tu infraestructura un poco más blindada contra este tipo de fallos en el perímetro, vale la pena revisar tu inventario de appliances, políticas de actualización y cómo gestionas el acceso administrativo antes de que la siguiente CVE te llegue por sorpresa.

Compartir:

Última actualización: 4 de enero de 202618:09

Ver más artículos
CVE-2025-66644 vulnerabilidad critica en ArrayOS AG VPN