MOVEit文件传输应用程序的新漏洞警告
关键要点
- Progress Software 最近披露了三项新漏洞,包括一个被标记为关键的 SQL 注入缺陷。
- 受影响版本包括多个 2020 和 2023 年间的 MOVEit Transfer 版本。
- 上个月已经有大量公司因类似漏洞遭到攻击,数据泄露事件频发。
- 用户需及时更新以确保数据安全。
Progress Software 是 MOVEit 文件传输应用程序的开发者,该应用程序因在 5 月和 6月期间被多个漏洞的利用卷入了数百家公司,而近期他们又披露了三项新漏洞,其中包括一个被标记为关键的 SQL 注入缺陷,以及另外两个高严重性漏洞。
新的 SQL 漏洞的 CVE条目()于 7 月 5日发布,影响 MOVEit Transfer 的网络应用程序。该漏洞允许攻击者通过提交恶意负载访问数据库,从而能够查看或修改内容。
这一漏洞是由 Guy Lederfein 在 Trend Micro 的零日项目中发现的,影响 MOVEit Transfer 版本包括但不限于
2020.1.11(12.1.11)、2021.0.9(13.0.9)、2021.1.7(13.1.7)、2022.0.7(14.0.7)、2022.1.8(14.1.8)和
2023.0.4(15.0.4)。
此外,昨天 Progress Software 还披露了其他两个高严重性漏洞。
第一个漏洞()描述了“多个”
SQL 漏洞,可能导致数据库内容的泄露和修改,同样影响上述版本。在发现这一漏洞的过程中,公司感谢了 HackerOne 上的漏洞猎人
cchav3z、nicolas_zilio、hoangha2、hoangnx 和 duongdpt 以及 VCSLAB(Viettel 网络安全公司)。
第三个漏洞()允许攻击者终止
MOVEit Transfer 的实例,影响版本包括 2021.0.9(13.0.9)之前的版本。这个漏洞是由 HackerOne 用户
jameshorseman 发现的。
受影响的 MOVEit Transfer 版本列表(来源:Progress Software)
Progress Software 在其安全公告中指出:“我们强烈建议您应用此服务包以获得产品更新和安全改进。”
新报告的漏洞出现在去年 5 月和 6 月期间已经披露的多项 SQL 注入漏洞之后,至少有一个漏洞被 Cl0p勒索团体利用,导致众多公司披露了数据被盗的事件。Cl0p 目前在其暗网泄露页面上列出了近 200家公司,专家预计在接下来的几周和几个月内还会发现更多受害者。
根据 Progress Software 社区论坛上的一篇
,已经应用了之前发布的补丁的用户可以直接运行最新的更新包,而未安装早期补丁的用户则需要先安装早期补丁,才能使 7 月 5日的更新有效。
