11月25日美国网络安全暨基础设施安全局（CISA）发布公告，他们将重大层级的漏洞CVE-2023-28461列入已遭利用漏洞（KEV）清单，要求联邦机构必须在12月16日完成修补。

这项漏洞存在于安瑞科技（Array Networks）Array AG系列SSL VPN设备，以及虚拟化版本vxAG，原因是重要功能缺乏身分验证机制造成，攻击者有机会利用漏洞读取SSL VPN闸道的本机文件，或是运行任意代码，CVSS风险达到9.8，影响9.4.0.481以前版本的操作系统。

一旦攻击者利用这项漏洞，就有机会远程运行任意代码，他们可在未经身分验证的情况下，借由HTTP标头特定标签属性，浏览闸道的文件系统。安瑞于去年3月9日公布这项漏洞，并于同月17日提供修补程序。

虽然CISA并未透露攻击者如何利用这项漏洞，不过这项资安公告发布的前几天，趋势科技公布中国黑客组织Earth Kasha的最新一波攻击行动里，其中一项用来取得初始入侵管道的SSL VPN漏洞，就是CVE-2023-28461。