MOVEit Transfer は、最近の大規模な Clop ランサムウェア侵害の中心となったソフトウェアで、重大度の SQL インジェクションのバグと、他の 2 つのそれほど重大度の低い脆弱性を修正するアップデートを受け取りました。
SQL インジェクションの脆弱性により、攻撃者は特別なクエリを作成してデータベースにアクセスしたり、コードを実行してデータベースを改ざんしたりすることができます。これらの攻撃が可能になるためには、ターゲットのアプリケーションが適切な入出力データのサニタイズを欠如している必要があります。
MOVEit Transfer の開発者である Progress は、自社製品内で複数の SQL インジェクションの問題を発見しました。その中には、CVE-2023-36934 として追跡される重大な問題も含まれており、ユーザー認証なしで悪用される可能性があります。
「攻撃者は、細工されたペイロードを MOVEit Transfer アプリケーション エンドポイントに送信する可能性があり、その結果、MOVEit データベースの内容が変更され、開示される可能性があります。」 – MOVEit Transfer アドバイザリー
2 番目の SQL インジェクションの欠陥は CVE-2023-36932 として識別され、攻撃者が認証後に悪用する可能性があるため、高重大度評価を受けました。
2 つの SQL インジェクションのセキュリティ問題は、12.1.10 以降、13.0.8 以降、13.1.6 以降、14.0.6 以降、14.1.7 以降、15.0.3 以降を含む、MOVEit Transfer の複数のバージョンに影響します。 。
このパッチで解決される 3 番目の脆弱性は CVE-2023-36933 です。これは、攻撃者がプログラムを予期せず終了させる可能性がある重大度の高い問題です。
この欠陥は、MOVEit Transfer バージョン 13.0.8 以降、13.1.6 以降、14.0.6 以降、14.1.7 以降、および 15.0.3 以降に影響します。
MOVEit Transfer のユーザーは、以下の表で強調表示されているバージョンにアップグレードすることをお勧めします。これらのバージョンは、前述の脆弱性に対処しています。
影響を受けるバージョン | 修正バージョン (フルインストーラー) | ドキュメンテーション | リリースノート |
---|---|---|---|
MOVEit 転送 2023.0.x (15.0.x) | MOVEit 転送 2023.0.4 (15.0.4) | MOVEit 2023 アップグレード ドキュメント | MOVEit Transfer 2023.0.4 リリースノート |
MOVEit 転送 2022.1.x (14.1.x) | MOVEit 転送 2022.1.8 (14.1.8) | MOVEit 2022 アップグレード ドキュメント | MOVEit Transfer 2022.1.8 リリースノート |
MOVEit 転送 2022.0.x (14.0.x) | MOVEit 転送 2022.0.7 (14.0.7) | MOVEit 2022 アップグレード ドキュメント | MOVEit Transfer 2022.0.7 リリースノート |
MOVEit 転送 2021.1.x (13.1.x) | MOVEit 転送 2021.1.7 (13.1.7) | MOVEit 2021 アップグレード ドキュメント | MOVEit Transfer 2021.1.7 リリースノート |
MOVEit 転送 2021.0.x (13.0.x) | MOVEit 転送 2021.0.9 (13.0.9) | MOVEit 2021 アップグレード ドキュメント | MOVEit Transfer 2021.0.9 リリースノート |
MOVEit Transfer 2020.1.6 (12.1.6) 以降 | 特別サービスパックをご利用いただけます | KB 000236830 を参照してください。 MOVEit Transfer 2020.1 サービス パック(2023年7月) |
MOVEit Transfer 2020.1.7 リリースノート |
MOVEit Transfer 2020.0.x (12.0.x) 以降 | サポートされているバージョンにアップグレードする必要があります | 「MOVEit Transfer アップグレード」および「MOVEit Transfer Upgrade」を参照してください。 移行ガイド |
該当なし |
Progress がセキュリティ Service Pack を採用
約 1 か月前、 ハッカー、特にClop ランサムウェア ギャングが、MOVEit Transfer 製品のゼロデイ脆弱性 (CVE-2023-34362 として追跡) を大量に悪用し、世界中の大組織からデータを盗みました。
ソフトウェア ベンダーはこの欠陥を発見してから数日後に修正しましたが、修正は実際に悪用が始まってからおよそ2 年後に行われたことが明らかになりました。
Progress はその後すぐにセキュリティ監査を開始し、これによりさらに重大な重大度の欠陥が発見され、パッチが適用されました。
このアメリカのソフトウェア会社は依然としてセキュリティインシデントの大きな影響に対処しているため、毎月リリースされる「サービスパック」と呼ばれる定期的なセキュリティアップデートを導入することを決定しました。
この新しいアプローチの一環として、ソフトウェア アップグレード プロセスが合理化され、MOVEit Transfer 管理者は以前よりも迅速かつ簡単に修正を適用できるようになります。
Comments