【漏洞预警】Progress MOVEit Transfer SQL注入漏洞(CVE-2023-34362)

admin 2023年6月5日20:25:22评论74 views字数 1083阅读3分36秒阅读模式

【漏洞预警】Progress MOVEit Transfer SQL注入漏洞(CVE-2023-34362)

漏洞描述:

在 MOVEit Transfer Web 应用程序中存在 SQL 注入漏洞,该漏洞可能允许远程未经授权的攻击者获得对 MOVEit Transfer 数据库的访问权限,并根据所使用的数据库引擎(MySQL、Microsoft SQL Server 或 Azure SQL),除了执行更改或删除数据库元素的 SQL 语句外,还可能推断出有关数据库结构和内容的信息,造成敏感信息泄露等影响,目前该漏洞已出现在野利用,建议受影响用户尽快修复。

利用条件:

漏洞利用可能性:待研判

影响版本:
Progress MOVEit Transfer < 2021.0.6 (13.0.6),
Progress MOVEit Transfer < 2021.1.4 (13.1.4),
Progress MOVEit Transfer < 2022.0.4 (14.0.4),
Progress MOVEit Transfer < 2022.1.5 (14.1.5),
Progress MOVEit Transfer < 2023.0.1 (15.0.1)

修复方法:    
目前官方已有可更新版本,建议受影响用户升级至:
Progress MOVEit Transfer 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1)
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

缓解方案:    
若暂时无法升级,可采用以下缓解措施:
1. 禁用所有流向 MOVEit Transfer 环境的 HTTP 和 HTTPs 流量:
修改防火墙规则以拒绝端口 80 和 443 上的 MOVEit Transfer 的 HTTP 和 HTTPs 流量,直到可以应用补丁。
2. 删除未经授权的文件和用户帐户
在 MOVEit Transfer 服务器上,查找在 C:MOVEitTransferwwwroot 目录中创建的任何文件, 以及在 C:WindowsTEMP[random] 目录中创建的文件扩展名为 [.]cmdline 的文件,找到则删除;
删除任何未经授权的用户帐户,参考:https://docs.progress.com/zh-CN/bundle/moveit-transfer-web-admin-help-2022/page/Users.html 。

原文始发于微信公众号(飓风网络安全):【漏洞预警】Progress MOVEit Transfer SQL注入漏洞(CVE-2023-34362)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日20:25:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Progress MOVEit Transfer SQL注入漏洞(CVE-2023-34362)http://cn-sec.com/archives/1784068.html

发表评论

匿名网友 填写信息