11月25日美國網路安全暨基礎設施安全域性（CISA）發布公告，他們將重大層級的漏洞CVE-2023-28461列入已遭利用漏洞（KEV）清單，要求聯邦機構必須在12月16日完成修補。

這項漏洞存在於安瑞科技（Array Networks）Array AG系列SSL VPN設備，以及虛擬化版本vxAG，原因是重要功能缺乏身分驗證機製造成，攻擊者有機會利用漏洞讀取SSL VPN閘道的本機檔案，或是執行任意程式碼，CVSS風險達到9.8，影響9.4.0.481以前版本的作業系統。

一旦攻擊者利用這項漏洞，就有機會遠端執行任意程式碼，他們可在未經身分驗證的情況下，藉由HTTP標頭特定標籤屬性，瀏覽閘道的檔案系統。安瑞於去年3月9日公佈這項漏洞，並於同月17日提供修補程式。

雖然CISA並未透露攻擊者如何利用這項漏洞，不過這項資安公告發布的前幾天，趨勢科技公佈中國駭客組織Earth Kasha的最新一波攻擊行動裡，其中一項用來取得初始入侵管道的SSL VPN漏洞，就是CVE-2023-28461。