MOVEit Transfer出現嚴重漏洞 英美政府機構受影響
2023年5月,Progress在旗下的檔案傳送軟件「MOVEit Transfer」發現安全漏洞(CVE-2023-35036),近期被黑客利用進行攻擊,美國國土安全部旗下的網路安全和基礎設施安全局表示,多個聯邦機構遭黑客勒索,美國、英國及其他國家機關亦受影響。 Progress指出,在2021.0.7(13.0.7)、2021.1.5(13.1.5)、2022.0.5(14.0.5)、2022.1.6(14.1.6)和2023.0.2(15.0.2)之前的MOVEit Transfer版本中,已經發現了多個SQL注入漏洞,可能允許未經身份驗證的攻擊者未經授權地訪問MOVEit Transfer數據庫。攻擊者可以向MOVEit Transfer終端提交特製的負載,進而修改和披露MOVEit數據庫的內容。所有版本的MOVEit Transfer都受到這個漏洞的影響。 MOVEit發言人表示,公司「已與聯邦執法部門聯繫」,並和客戶合作,協助修復系統。 修復措施詳情請瀏覽:Progress