尽快修补!MOVEit Transfer 中发现SQL注入漏洞

近日，Progress Software在其MOVEit Transfer应用程序中修补了一个被广泛利用的0day漏洞几天后，该公司发布了第二个补丁，解决安全供应商在上周的代码审查中发现的其他SQL注入漏洞，这些漏洞可能会使攻击者窃取敏感信息。

该公司在2023年6月9日发布的一份报告中表示:“在MOVEit Transfer web应用程序中发现了SQL注入漏洞，这些漏洞可能允许未经身份验证的攻击者获得对MOVEit Transfer数据库的未经授权访问。”“攻击者可以向MOVEit Transfer应用程序端点提交精心制作的有效载荷，可能导致MOVEit数据库内容的修改和泄露。”

目前暂未看到这些新发现的漏洞被利用的迹象。

Progress敦促客户立即安装新补丁，因为网络攻击者可能利用这些漏洞发起更多的攻击。“这些新发现的漏洞与之前报告的2023年5月31日共享的漏洞不同，”Progress表示。所有MOVEit Transfer客户都需要应用2023年6月9日发布的新补丁。”

影响服务不同版本的缺陷在MOVEit Transfer 版本 2021.0.7 (13.0.7)、2021.1.5 (13.1.5)、2022.0.5 (14.0.5)、2022.1.6 (14.1.6) 和 2023.0.2 (15.0.2) 中得到解决。

其他漏洞利用

此前报道的MOVEit Transfer漏洞(CVE-2023-34362)已经被大量利用，可以在目标系统上投放web shell。该漏洞导致了一系列数据盗窃攻击，据称影响了“数百家公司”。

该活动为Clop勒索软件团伙，该团伙自2020年12月以来一直在策划数据盗窃活动，并利用各种托管文件传输平台的 0day 漏洞。

企业调查和风险咨询公司Kroll还发现，有证据表明，该网络犯罪团伙早在2021年7月就开始试验利用CVE-2023-34362的方法，并至少从2022年4月开始设计从受损的MOVEit服务器提取数据的方法。

Clop 勒索软件团伙有策划数据盗窃活动和利用各种托管文件传输平台中的漏洞的历史。

这些漏洞包括2020年12月对Accellion FTA服务器的 0day 攻击，2021年SolarWinds Serv-U管理文件传输攻击，以及2023年1月对GoAnywhere MFT 0day 漏洞的广泛利用。

能产生关键影响的漏洞一旦被利用会导致严重的后果，在大多数情况下，漏洞使得网络攻击者能够对系统进行未经授权的访问，甚至篡改或盗取数据。随着漏洞利用攻击的增加，在软件开发期间利用静态代码检测工具可以帮助开发人员及时查找漏洞并修复，增强软件自身安全性降低被攻击的风险。

来源：

https://www.darkreading.com/vulnerabilities-threats/brand-new-security-bugs-affect-all-moveit-transfer-versions

https://www.bleepingcomputer.com/news/security/new-moveit-transfer-critical-flaws-found-after-security-audit-patch-now/