Progress Software於2023年5月31日針對 MOVEit Transfer中的一個嚴重漏洞發布了一份公告,並於6月2日增加了CVE ID為CVE-2023-34362,屬於SQL注入漏洞,可能導致權限提升及潛在的未經授權存取環境。
MOVEit Transfer是一種安全的託管檔案傳輸(MFT, Managed File Transfer)軟體,受到各種組織使用,報告表明攻擊者已從許多組織竊取資料。該漏洞可能允許未經身份驗證的攻擊者獲得對MOVEit Transfer資料庫的未授權存取權限,根據所使用的資料庫引擎(MySQL、Microsoft SQL Server或Azure SQL),攻擊者除了執行更改或刪除資料庫元素的SQL語句外,還可能推斷出有關資料庫結構及內容的資訊。
根據Shodan截至6月2日查詢資料,共有2,526個MOVEit Transfer潛在漏洞實例可公開存取,其中近四分之三來自美國(73.4%),其次是英國5%,然後是德國4.6%,而台灣亦有少數該服務曝露在外。 美國網路安全暨基礎設施安全局(CISA)亦於6月2日,要求美國聯邦政府所屬單位在6月23日之前修補該漏洞。Progress建議所有客戶應修補MOVEit Transfer存在的該漏洞,以阻止遭攻擊利用的企圖及潛在的違規行為,若無法立即套用安全更新,也可以暫時使用提供的緩解措施。
|