MOVEit Transfer應(yīng)用程序所屬公司Progress Software發(fā)布了最新補(bǔ)丁，以解決影響文件傳輸?shù)腟QL注入漏洞，這些漏洞可能導(dǎo)致敏感信息被盜。

該公司在2023年6月9日發(fā)布的公告中說：在MOVEit Transfer網(wǎng)絡(luò)應(yīng)用程序中發(fā)現(xiàn)了多個(gè)SQL注入漏洞，可能允許未經(jīng)認(rèn)證的攻擊者獲得對(duì)MOVEit Transfer數(shù)據(jù)庫的非法訪問。

這個(gè)新的影響所有版本服務(wù)的漏洞已在MOVEit Transfer 2021.0.7（13.0.7）、2021.1.5（13.1.5）、2022.0.5（14.0.5）、2022.1.6（14.1.6）和2023.0.2（15.0.2）版本中得到解決。所有MOVEit Cloud實(shí)例已完全打上補(bǔ)丁。

網(wǎng)絡(luò)安全公司Huntress是在代碼審查中發(fā)現(xiàn)并報(bào)告了該漏洞。同時(shí)表示，沒有觀察到新發(fā)現(xiàn)的漏洞在野外被利用的跡象。

目前新的漏洞尚未被分配CVE，不過相信很快就會(huì)得到一個(gè)。

被利用兩年的零日漏洞

在此之前，MOVEit 還公布了一個(gè)被廣泛利用的零日漏洞（CVE-2023-34362），該漏洞可以在目標(biāo)系統(tǒng)上投放網(wǎng)絡(luò)外殼。

MOVEit Transfer的零日漏洞利用活動(dòng)是Cl0p勒索軟件團(tuán)伙所為。它已經(jīng)直接（或通過第三方）影響了工資供應(yīng)商Zellis、BBC和英國(guó)航空公司等公司。

攻擊者一直在利用這個(gè)漏洞來滲出數(shù)據(jù)。據(jù)Kroll公司的專家稱，黑客很可能早在2021年就在試驗(yàn)如何利用這個(gè)特殊的漏洞。該漏洞在2021年7月和2022年4月都可以使用并測(cè)試。

網(wǎng)絡(luò)安全公司SentinelOne說，雖然對(duì)漏洞的利用很可能是隨機(jī)的。然而，一些部門受到的影響比其他部門更大。該公司觀察到針對(duì)以下部門的20多個(gè)組織的攻擊：

• 航空、運(yùn)輸和物流
• 娛樂業(yè)
• 金融服務(wù)和保險(xiǎn)
• 醫(yī)療保健、制藥和生物技術(shù)
• 信息技術(shù)管理服務(wù)供應(yīng)商（MSP）
• 管理型安全服務(wù)供應(yīng)商（MSSP）
• 制造業(yè)和建筑材料
• 機(jī)械工程
• 印刷和數(shù)字媒體
• 技術(shù)
• 公用事業(yè)和公共服務(wù)

Cl0p組織還向受影響的公司發(fā)出勒索通知，敦促他們?cè)?023年6月14日之前與該組織聯(lián)系，否則將在數(shù)據(jù)泄露網(wǎng)站上公布其被盜信息。

分析師建議：使用MOVEit 的組織應(yīng)立即升級(jí)受影響的系統(tǒng)。在無法進(jìn)行升級(jí)的情況下，應(yīng)將系統(tǒng)下線，直到可以升級(jí)為止。確保你的安全團(tuán)隊(duì)能夠訪問和分析運(yùn)行MOVEit Transfer的服務(wù)器的應(yīng)用日志，包括微軟IIS日志。