MOVEit Transfer 应用程序的关键零日漏洞

关键内容回顾

MOVEit Transfer 中的 SQL 注入漏洞可导致特权提升和潜在的未经授权访问。该漏洞影响大量企业和开发人员，包括一些大银行和政府机构。安全专家警告说，组织需要迅速补丁，并检查系统是否遭到入侵。所有版本的 MOVEit Transfer 均受到影响，建议安全团队尽快应用补丁。

在过去两天内，Progress Software 公开了其 MOVEit Transfer 文件传输应用程序中的一个关键 SQL 注入漏洞CVE202334362，这一漏洞可能引发大量企业的安全问题，造成特权提升和对数百万 IT 环境的潜在未经授权访问。

来自 Huntress、Mandiant 和安全研究员 Kevin Beaumont 的研究人员对此漏洞进行了评论，呼吁安全团队尽快修补。

根据 Progress Software 的说明，数千家企业， 包括 1700 家软件公司和 350 万开发人员，在使用 MOVEit。安全研究人员还指出， 国土安全部 和一些大型银行也在使用 MOVEit。Progress Software 的官网上列出了许多客户，包括 Chase 银行、迪士尼、BlueCross BlueShield、GEICO、JetBlue 和美国职业棒球大联盟。

Mandiant 在 Google Cloud 的首席分析师 John Hultquist 表示：“我们已经识别出几个客户的活跃入侵，并预计在短期内会有更多。”他补充道：“所有人都需要迅速修补，并在怀疑被攻击的情况下，做好可能公开发布数据的准备。”

Huntress 的高级安全研究员 John Hammond 解释说，MOVEit 是一种受管理的文件传输软件，使用多种协议安全地共享数据。他提供了一些使用场景，比如大学希望潜在学生安全地在线上传申请，或者金融机构要求客户上传申请贷款的数据。

Hammond 表示：“如果 MOVEit Transfer 暴露在互联网上正如 Shodan 所暗示的，有 2500 台设备那么它很可能在阵亡将士纪念日的假期间就已遭到破坏，甚至更早。”他进一步指出：“我们知道有受影响的受害者遭遇数据外流，而在这次攻击中部署的后门提供了持续的访问能力。如果不清理入侵，攻击者可能会窃取 Azure 账户信息或稍后继续进行操作。”

Mandiant 咨询公司的首席技术官 Charles Carmakal 补充道，目前 Mandiant 正在调查与 MOVEit 管理的文件传输零日漏洞利用相关的多个入侵事件。Carmakal 提到，在过去几天内发生了大规模的利用和广泛的数据盗窃。

他表示：“除了修补系统，任何使用 MOVEit 的组织都应对系统进行法医检查，以确定是否已被入侵以及是否有数据被窃取。”他补充道：“虽然 Mandiant 尚未了解攻击者的动机，但组织应该准备好面对潜在的勒索和被盗数据的发布。其他管理文件传输解决方案的零日漏洞的广泛利用导致了数据盗窃、勒索、被盗数据的发布以及受害者的羞辱。”

Progress Software 表示，所有版本的 MOVEit Transfer 都受到此漏洞的影响，建议安全团队参考其 安全公告 进行补丁更新。

xfcc旋风加速