MOVEit Transfer應用程序所屬公司Progress Software發布了最新補丁，以解決影響文件傳輸的SQL注入漏洞，這些漏洞可能導致敏感信息被盜。

該公司在2023年6月9日發布的公告中說：在MOVEit Transfer網絡應用程序中發現了多個SQL注入漏洞，可能允許未經認證的攻擊者獲得對MOVEit Transfer數據庫的非法訪問。

這個新的影響所有版本服務的漏洞已在MOVEit Transfer 2021.0.7（13.0.7）、2021.1.5（13.1.5）、2022.0.5（14.0.5）、2022.1.6（14.1.6）和2023.0.2（15.0.2）版本中得到解決。所有MOVEit Cloud實例已完全打上補丁。

網絡安全公司Huntress是在代碼審查中發現并報告了該漏洞。同時表示，沒有觀察到新發現的漏洞在野外被利用的跡象。

目前新的漏洞尚未被分配CVE，不過相信很快就會得到一個。

被利用兩年的零日漏洞

在此之前，MOVEit 還公布了一個被廣泛利用的零日漏洞（CVE-2023-34362），該漏洞可以在目標系統上投放網絡外殼。

MOVEit Transfer的零日漏洞利用活動是Cl0p勒索軟件團伙所為。它已經直接（或通過第三方）影響了工資供應商Zellis、BBC和英國航空公司等公司。

攻擊者一直在利用這個漏洞來滲出數據。據Kroll公司的專家稱，黑客很可能早在2021年就在試驗如何利用這個特殊的漏洞。該漏洞在2021年7月和2022年4月都可以使用并測試。

網絡安全公司SentinelOne說，雖然對漏洞的利用很可能是隨機的。然而，一些部門受到的影響比其他部門更大。該公司觀察到針對以下部門的20多個組織的攻擊：

• 航空、運輸和物流
• 娛樂業
• 金融服務和保險
• 醫療保健、制藥和生物技術
• 信息技術管理服務供應商（MSP）
• 管理型安全服務供應商（MSSP）
• 制造業和建筑材料
• 機械工程
• 印刷和數字媒體
• 技術
• 公用事業和公共服務

Cl0p組織還向受影響的公司發出勒索通知，敦促他們在2023年6月14日之前與該組織聯系，否則將在數據泄露網站上公布其被盜信息。

分析師建議：使用MOVEit 的組織應立即升級受影響的系統。在無法進行升級的情況下，應將系統下線，直到可以升級為止。確保你的安全團隊能夠訪問和分析運行MOVEit Transfer的服務器的應用日志，包括微軟IIS日志。