ブランド

Progress Software が MOVEit Transfer アプリで広く悪用されているゼロデイ脆弱性にパッチを適用した数日後、同社はセキュリティ ベンダーが今週コード レビュー中に発見した追加の SQL インジェクション脆弱性に対処する 2 つ目のパッチを発行しました。

この脆弱性は MOVEit Transfer のすべてのバージョンに存在し、認証されていない攻撃者が MOVEit Transfer データベースにアクセスし、データベース内のデータを変更または盗む可能性があります。 新しい欠陥にはまだ CVE が割り当てられていませんが、間もなく割り当てられる予定です。

「調査は進行中ですが、現時点では、これらの新たに発見された脆弱性が悪用された形跡は確認されていません」とProgress氏は述べた。

Progressは6月9日の勧告で、脅威アクターがさらなる攻撃で欠陥を悪用する可能性があるとして、顧客に新しいパッチを直ちにインストールするよう促した。 「これらの新たに発見された脆弱性は、2023年5月31日に共有された以前に報告された脆弱性とは異なるものである」とProgressは述べた。 「すべての MOVEit Transfer 顧客は、2023 年 6 月 9 日にリリースされた新しいパッチを適用する必要があります。」

Progressは、Huntressがコードレビューの一環として脆弱性を発見したと説明した。

Progress Software の新しいパッチは、Cl0p ランサムウェア グループが MOVEit Transfer の別のゼロデイ欠陥 (CVE-2023-34362) を広く悪用しているという報告の中で公開されました。 この脅威グループは約 2 年前にこの欠陥を発見し、それを悪用して世界中の何千もの組織からデータを盗んでいます。 既知の被害者には、BBC、ブリティッシュ・エアウェイズ、ノバスコシア州政府などが含まれます。 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、今後広範囲に影響が及ぶ可能性があると組織に警告した。

Huntress の研究者は、MOVEit Transfer アプリの分析中に脆弱性を発見しました。 彼らは以前、Cl0p 攻撃者が世界規模の恐喝キャンペーンでこの脆弱性をどのように悪用したかについての詳細な分析を提供していました。

「ハントレスは、元のエクスプロイトの概念実証を再現し、最初のパッチの有効性を評価した結果、さまざまな攻撃ベクトルを発見しました」とハントレスの広報担当者は述べています。 「これらは最初のパッチでは対処されていない明らかな欠陥であり、私たちは責任を持ってこれらをプログレスチームに開示して、この二次パッチのリリースを奨励しました。」

現時点では、Huntress はこの新しい CVE を巡る新たな悪用を観察していないと付け加えましたが、状況はすぐに変わる可能性があります。

Progress によると、2023 年 5 月 31 日以降、元のゼロデイ バグに対してすでに同社のパッチを適用している組織は、修正アドバイスに概要が記載されているように、新しい脆弱性に対してもすぐにパッチを適用できるとのことです。 最初の欠陥に対するパッチをまだ適用していない組織は、代わりに、Progress が概説している代替の修復およびパッチ適用手順に従う必要があります。

Progress は、MOVEit Cloud にも最新のアップデートを自動的に適用しましたが、「お客様には、予期しないまたは異常なファイルのダウンロードの兆候がないか監査ログを確認し、アクセス ログとシステム ログを当社のシステム保護ソフトウェア ログと合わせて引き続き確認することをお勧めします。」 」