Progress Software は、同社のエンタープライズグレードのマネージドファイル転送(MFT)アプリケーションである MOVEit Automation に重大な認証バイパスの脆弱性があるとして、パッチを適用するよう顧客に警告した。
MOVEit Automationは、手動スクリプトを必要とせずに複雑なデータワークフローを自動化し、ローカルサーバー、クラウドストレージ、外部パートナーを含む異なるシステム間のファイル転送をスケジュールおよび管理する中央自動化オーケストレーターとして機能します。
このセキュリティ上の欠陥は、CVE-2026-4670として追跡されており、MOVEit Automationの2025.1.5、2025.0.9、および2024.1.8より前のバージョンに影響します。この脆弱性は、2025.1.5以前のバージョン、2025.0.9以前のバージョン、2024.1.8以前のバージョンのMOVEit Automationに存在します。
「私たちはこの脆弱性に対処しており、Progress MOVEit Automation チームは最新バージョンへのアップグレードを強く推奨しています。「完全なインストーラを使用して、パッチが適用されたリリースにアップグレードすることが、この問題を修正する唯一の方法です。アップグレードが実行されている間、システムは停止します。
同日、Progress は、同じソフトウェアの不適切な入力検証の弱点に起因する、深刻度の高い特権昇格の脆弱性(CVE-2026-5174)に対処するためのセキュリティ更新プログラムもリリースした。
PwnDefendのサイバーセキュリティ・コンサルタントであるDaniel Cardが共有したShodanの検索によると、1,400以上のMOVEit Automationインスタンスがオンラインで公開されており、そのうちの十数件は米国の地方自治体や州政府機関に関連している。
ただし、これらのシステムのうち、CVE-2026-4670攻撃に対するセキュリティがすでに確保されているものがどれだけあるかについては、情報がない。
同社はまだこれらのセキュリティ問題が悪用されたとは発表していないが、Moveit MFTの他の脆弱性は近年、攻撃の標的になっている。
例えば、ランサムウェア集団Clopは、2023年にMOVEit Transferセキュアファイル転送プラットフォームのゼロデイを悪用し、2,100以上の組織と6,200万人以上の個人に影響を与えた大規模な一連のデータ窃盗攻撃を行いました(Emsisoftの推定)。
MFTソフトウェアは、Accellion FTA、SolarWinds Serv-U、Gladinet CentreStack、GoAnywhere MFT、およびCleoのセキュリティ欠陥を標的とした過去のClopデータ盗難キャンペーンに見られるように、ランサムウェア行為者にとって魅力的なターゲットです。
Progress Softwareによると、同社のMOVEit MFTソリューションは、世界中で3,000以上の企業組織と100,000人以上のユーザーによって使用されているという。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments