Bleeping Computer 網站披露，CISA 將 Progress MOVEit Transfer 管理文件傳輸（MFT）解決方案中一個安全漏洞添加到其已知被利用漏洞列表中，并命令美國聯邦機構在 6 月 23 日前修補其系統。

該關鍵安全漏洞被追蹤為 CVE-2023-34362，是一個 SQL 注入漏洞，未經身份驗證的遠程攻擊者能夠利用其訪問 MOVEit Transfer 的數據庫并執行任意代碼。

根據具有約束力的操作指令（BOD 22-01），一旦將某個安全漏洞添加到 CISA 已知被利用漏洞目錄中，聯邦民事行政分支機構（FCEB）必須修補該漏洞。值得一提的是，雖然 BOD 22-01 主要針對聯邦機構，但強烈建議私營公司同樣優先保護其系統免受 MOVEit 傳輸漏洞的影響。

Progress 建議所有客戶給他們的 MOVEit Transfer 實例打補丁，以阻止潛在的安全風險，對于那些不能立即應用安全更新的客戶也可以禁用所有通往其 MOVEit Transfer 環境的 HTTP 和 HTTPS 流量。

受影響的 MOVEit Transfer 版本和固定版本列表如下。

目前，互聯網上有超過 2500 臺 MOVEit 傳輸服務器，其中大部分位于美國。據 Mandiant 公司首席技術官 Charles Carmakal 稱至少從 5 月 27 日開始，網絡攻擊者就一直在利用 CVE-2023-34362 漏洞，這一時間比 Progress 公司公開披露并測試脆弱系統安全補丁的節點早四天。

Carmakal 告訴 BleepingComputer，在過去幾天發生多起大規模漏洞利用和數據盜竊事件，Mandiant 還不清楚攻擊者的犯罪動機，企業應該為數據泄露和潛在的勒索做好心里準備。

網絡攻擊者能夠利用漏洞進行多種攻擊

BleepingComputer 獲悉，在新發現的網絡外殼（Mandiant 稱之為 LemurLoot）的幫助下，攻擊者已經攻破多個組織，盜取了大量數據。LemurLoot 能夠幫助攻擊者獲取包括可用于從受害者的 Azure Blob Storage 容器中滲出數據登錄憑證等在內的多個 Azure Blob Storage 賬戶信息。

Mandiant 還發現針對 MOVEit 傳輸服務器的攻擊與 FIN11威脅團伙之間可能存在聯系，該組織以在其他文件傳輸系統中利用零日漏洞后，通過 Clop 勒索軟件的泄漏網站進行數據盜竊勒索而聞名。

截至目前，由于攻擊者還沒有開始勒索受害者，對于他們的詳細身份信息尚不可知。此外，對于 CVE-2023-34362 漏洞的利用與 2020 年 12 月對 Accelion FTA 服務器的零日漏洞利用和 2023 年 1 月對 GoAnywhere MFT 零日漏洞大規模利用高度相似。 GoAnywhere MFT 和 Accelion FTA 被臭名昭著的 Clop 勒索軟件團伙盯上后，被竊取了大量數據并成為了勒索攻擊受害者。

文章來源：https://www.bleepingcomputer.com/news/security/cisa-orders-govt-agencies-to-patch-moveit-bug-used-for-data-theft/