今年6月，文件共享工具M(jìn)OVEit Transfer曾曝出SQL 注入漏洞，能讓遠(yuǎn)程攻擊者訪問其數(shù)據(jù)庫并執(zhí)行任意代碼。最近，MOVEit Transfer 母公司Progress Software又披露了三個(gè)新漏洞。

這三個(gè)漏洞分別是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞漏洞有關(guān)。

SQL 注入漏洞能讓攻擊者利用它操縱數(shù)據(jù)庫并運(yùn)行他們想要的任何代碼。攻擊者可以將專門設(shè)計(jì)的有效負(fù)載發(fā)送到受影響應(yīng)用程序的某些端點(diǎn)，從而更改或暴露數(shù)據(jù)庫中的敏感數(shù)據(jù)。

這其中最為嚴(yán)重的漏洞為CVE-2023-36934，能夠無需登錄即被利用，意味著即使沒有有效憑證的攻擊者也有可能利用該漏洞，但到目前為止，還沒有關(guān)于攻擊者積極利用此漏洞的報(bào)告。

而CVE-2023-36932能讓登錄的攻擊者利用該漏洞來獲得對(duì) MOVEit Transfer 數(shù)據(jù)庫的未經(jīng)授權(quán)的訪問；CVE-2023-36933 則是一個(gè)允許攻擊者意外關(guān)閉 MOVEit Transfer 程序的漏洞。

MOVEit于今年6月披露的漏洞顯示它們已經(jīng)被Clop 勒索軟件組織利用，數(shù)千家使用該服務(wù)的企業(yè)組織受到影響。一直在跟蹤局勢(shì)的 Emsisoft 威脅分析師布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美國學(xué)校和超過 1750 萬人的信息受到影響。

其他企業(yè)，石油巨頭殼牌曾在6月15日證實(shí)自己受到了MOVEit漏洞的影響，英國廣播公司BBC 和英國航空公司 (BA) 、南非零售巨頭Clicks等企業(yè)也表示自己是受害者。

此次新批露的漏洞影響多個(gè) MOVEit Transfer 版本，但目前均已被MOVEit Transfer修復(fù)。Progress Software 已為所有主要 MOVEit Transfer 版本提供了必要的更新，強(qiáng)烈建議用戶更新到 MOVEit Transfer 的最新版本，以降低這些漏洞帶來的風(fēng)險(xiǎn)。