MOVEit Transfer 身份验证绕过漏洞迫在眉睫

重点摘要

MOVEit Transfer 身份验证绕过漏洞CVE20245806已经被攻击者针对，客户被敦促立即应用补丁。该漏洞的CVSS评分为91，并影响多个旧版本。虽然公开信息有限，但现有数据表明，2700个MOVEit Transfer实例在线暴露，亟需修复以防止潜在攻击。

MOVEit Transfer 提供商 Progress Software Corporation 于6月11日发布了补丁，并已经在6月25日公开披露了这个严重的安全漏洞。

漏洞概述

当前漏洞被追踪为 CVE20245806，是MOVEit Transfer安全文件传输协议SFTP服务中的一个缺陷，影响202300较早版本、202310版本的202316之前，以及202400版本的202402之前的版本。利用此漏洞，攻击者可以在不知晓凭证的情况下访问账户。

在公告发布的几小时内，Shadowserver Foundation 检测到了针对该漏洞的攻击尝试，表明漏洞已经受到攻击者的关注。

“尽管当前关于此漏洞的具体情况还有很多未知，但我们尚未看到在实际环境中被利用的证据，”Tenable的研究工程师Scott Caveza在发给SC Media的电子邮件中表示。“尽管如此，我们还是敦促客户尽快修复此漏洞。”

2700 个 MOVEit Transfer 实例在线暴露

虽然Progress的公告中没有提供有关漏洞如何被利用的进一步细节，但Rapid7 发布了一篇博客，解释说，攻击者需要针对一个可以远程认证的账户，并且SFTP实例需要暴露，攻击者还需要知道目标账户的用户名。

博客作者指出，攻击者可能通过泛滥用户名的方法来发现脆弱的账户。根据Censys的 数据，在公告发布时，约有2700个MOVEit Transfer实例暴露在网络上，其中大部分位于美国。然而，尚不清楚有多少暴露的实例仍然易受此漏洞的攻击。

“与2023年MOVEit Transfer的暴露情况相比，这些数字极为相似，地理位置和网络也大体一致，”Censys表示。

去年五月，MOVEit Transfer中一个关键的SQL注入漏洞CVE202334362被Cl0p勒索团体在一场大规模供应链攻击中广泛利用，受到影响的组织超过2500个，涉及的人数超过6400万，并且这一数字还在上升。

“MOVEit并不是说比其他产品更不安全，但早期成功利用该产品将使其一直处于安全研究人员和不法分子关注的焦点，”KnowBe4的安全意识倡导者Erich Kron在发给SC Media的电子邮件中提到。“软件用户需要确保他们有一个快速修补和威胁缓解的计划。面对新漏洞时，组织需要能够敏捷应对，立即关闭威胁。”

尽管CVE20245806的攻击面较小，因为它影响的版本比CVE202334362少，但这一关键身份验证绕过缺陷的潜在毁灭性后果使得修补受影响的版本显得尤为紧迫。

“Rapid7建议紧急安装供应商提供的CVE20245806补丁，而不必等待常规补丁周期的到来，”该安全公司表示。

PoC 漏洞利用及技术细节公开可得

Progress早期的通知工作和针对CVE20245806的补丁分发，使网络安全防御者至少提前两周准备应对预期的攻击。在漏洞公开披露后20分钟内，watchTowr的研究人员 发布了漏洞的概念验证，表示他们“很幸运能提前获得提醒”，从而