Progress Software 的 MOVEit Transfer 软件中存在一个高危安全漏洞,可能允许网络攻击者绕过该平台的身份验证机制——该漏洞在公开后仅数小时就被广泛利用。
MOVEit Transfer 是一款用于大型企业文件共享和协作的应用程序;去年,它成为臭名昭著的Cl0p 勒索软件攻击的目标,至少有 160 家企业受到影响,其中包括英国航空公司、缅因州、西门子、加州大学洛杉矶分校等。大规模攻击的程度严重影响了 Verizon 今年“数据泄露调查报告”(DBIR)的结果。
根据 Progress今天针对该问题发布的安全公告,新漏洞(CVE-2024-5806 ,CVSS:7.4)是 MOVEit 的 SFTP 模块中存在的不当身份验证漏洞,“在有限情况下可能导致身份验证绕过” ,其中还包含修补信息。它影响 MOVEit Transfer 的 2023.0.0 到 2023.0.11 之前的版本、2023.1.0 到 2023.1.6 之前的版本以及 2024.0.0 到 2024.0.2 之前的版本。
管理员应立即修补该问题 — 去年的事件发生后,MOVEit 不仅引起了网络犯罪分子的注意,而且能够访问财富 1000 强企业的内部文件对于任何具有间谍意识的高级持续性威胁 (APT) 来说都是一笔丰厚的利润。而且,根据非营利组织 Shadowserver Foundation 的一份简短说明,“今天漏洞详细信息公布后不久,我们就开始观察 Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx 漏洞利用尝试。”它还报告说,网上至少有 1,800 个暴露的实例(尽管并非所有实例都存在漏洞)。
Progress 没有提供有关该漏洞的任何细节,但 watchTowr 的研究人员称该漏洞“确实很奇怪”,他们已经能够确定两种攻击场景。在一种情况下,攻击者可以使用恶意 SMB 服务器和有效用户名执行“强制身份验证”(通过字典攻击方法启用)。
在另一个更危险的攻击中,威胁者可以冒充系统上的任何用户。根据 watchTowr 的帖子,[我们可以] 将我们的 SSH 公钥上传到服务器,甚至无需登录,然后使用该密钥材料允许我们以任何我们想要的身份进行身份验证。 “从这里,我们可以做任何用户可以做的事情——包括阅读、修改和删除之前受保护的、可能敏感的数据。”
发表评论