IT系統業者Progress於6月9日發布新的資安通告,主要內容是公布修補的SQL注入漏洞(尚未取得CVE編號),並提及這會影響所有版本的MOVEit Transfer、MOVEit Cloud,呼籲用戶要儘速套用同日推出的新版軟體,該公司亦對MOVEit Cloud叢集進行修補。
一旦攻擊者利用這項漏洞,就有可能在未經身分驗證的情況下,得到此MFT系統資料庫的存取權限,攻擊者可發送特製的酬載到用戶端應用程式,進而竄改、洩露資料庫內容。
該公司指出,這項漏洞之所以能夠發現,源於5月底,他們得知勒索軟體駭客Clop的零時差漏洞攻擊,尋求資安業者Huntress協助檢視該MFT系統程式碼,後續發現問題所在,所幸該漏洞目前尚未發現遭到利用的跡象。
|