企業檔案傳輸自動化工具MOVEit Automation存在重大漏洞,攻擊者可藉此繞過身分驗證流程
漏洞概述
Progress Software公司之檔案傳輸服務MOVEit Transfer存在高風險安全漏洞(CVE-2023-34362),允許攻擊者於未經身分鑑別之情況下,存取並修改資料庫。該漏洞被發現後,已導致多個企業與政府單位遭攻擊,包括美國能源部、殼牌石油、多家歐美銀行及Amazon等。
攻擊手法與影響
攻擊者可利用此漏洞繞過身分驗證流程,直接存取並修改伺服器上的資料,甚至外洩、刪除或更改資料資訊。此類攻擊被勒索軟體組織如Clop所濫用,導致多間企業系統遭入侵,部分企業如西門子能源亦證實遭攻擊。
安全建議
- 企業與組織應儘快清查所使用的MOVEit Transfer版本,並確認是否為已修補漏洞之版本。
- 建議在傳輸伺服器前設置WAF(Web Application Firewall)或NGFW(Next-Generation Firewall)以減輕SQL注入等攻擊風險。
- 應加強對MFT(Message File Transfer)系統的資安監控與定期漏洞掃描。
相關公告與發展
2023年6月,Progress Software公開MOVEit Gateway與MOVEit Transfer存在身分認證略過的資安問題,並呼籲相關系統使用者立即採取行動。此外,美國證券交易委員會(SEC)曾對Progress進行調查,但最終證實執法單位將不會採取法律行動。
根據相關報告,雖然CVE-2023-34362的修補版本於2023年5月31日釋出,但開發人員仍指出存在多個其他未公開的漏洞,可能引發未來的供應鏈攻擊事件。