MOVEit Transfer の顧客に、新たな重大な欠陥にパッチを適用するよう警告

MOVEit Transfer は、最近の大規模な Clop ランサムウェア侵害の中心となったソフトウェアで、重大度の SQL インジェクションのバグと、他の 2 つのそれほど重大度の低い脆弱性を修正するアップデートを受け取りました。

SQL インジェクションの脆弱性により、攻撃者は特別なクエリを作成してデータベースにアクセスしたり、コードを実行してデータベースを改ざんしたりすることができます。これらの攻撃が可能になるためには、ターゲットのアプリケーションが適切な入出力データのサニタイズを欠如している必要があります。

MOVEit Transfer の開発者である Progress は、自社製品内で複数の SQL インジェクションの問題を発見しました。その中には、CVE-2023-36934 として追跡される重大な問題も含まれており、ユーザー認証なしで悪用される可能性があります。

Progress のセキュリティ情報には、「MOVEit Transfer Web アプリケーションに SQL インジェクションの脆弱性が確認されました。この脆弱性により、認証されていない攻撃者が MOVEit Transfer データベースに不正アクセスできる可能性があります。」と記載されています。

2 番目の SQL インジェクションの欠陥は CVE-2023-36932 として識別され、攻撃者が認証後に悪用する可能性があるため、高重大度評価を受けました。

2 つの SQL インジェクションのセキュリティ問題は、12.1.10 以降、13.0.8 以降、13.1.6 以降、14.0.6 以降、14.1.7 以降、15.0.3 以降を含む、MOVEit Transfer の複数のバージョンに影響します。 。

このパッチで解決される 3 番目の脆弱性は CVE-2023-36933 です。これは、攻撃者がプログラムを予期せず終了させる可能性がある重大度の高い問題です。

この欠陥は、MOVEit Transfer バージョン 13.0.8 以降、13.1.6 以降、14.0.6 以降、14.1.7 以降、および 15.0.3 以降に影響します。

MOVEit Transfer のユーザーは、以下の表で強調表示されているバージョンにアップグレードすることをお勧めします。これらのバージョンは、前述の脆弱性に対処しています。

Progress がセキュリティ Service Pack を採用

約 1 か月前、 ハッカー、特にClop ランサムウェア ギャングが、MOVEit Transfer 製品のゼロデイ脆弱性 (CVE-2023-34362 として追跡) を大量に悪用し、世界中の大組織からデータを盗みました。

ソフトウェア ベンダーはこの欠陥を発見してから数日後に修正しましたが、修正は実際に悪用が始まってからおよそ2 年後に行われたことが明らかになりました。

Progress はその後すぐにセキュリティ監査を開始し、これによりさらに重大な重大度の欠陥が発見され、パッチが適用されました。

このアメリカのソフトウェア会社は依然としてセキュリティインシデントの大きな影響に対処しているため、毎月リリースされる「サービスパック」と呼ばれる定期的なセキュリティアップデートを導入することを決定しました。

この新しいアプローチの一環として、ソフトウェア アップグレード プロセスが合理化され、MOVEit Transfer 管理者は以前よりも迅速かつ簡単に修正を適用できるようになります。