Podatność nieprawidłowej weryfikacji tożsamości (CWE-287) w module SFTP aplikacji Progress MOVEit Transfer umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmów uwierzytelniania. Ze względu na krytyczny wynik CVSS 9.1 oraz szeroki zakres dotkniętych wersji stanowi poważne zagrożenie dla organizacji korzystających z tego rozwiązania do zarządzanego transferu plików.
▸ Pokaż oryginał (EN)
Improper Authentication vulnerability in Progress MOVEit Transfer (SFTP module) can lead to Authentication Bypass.This issue affects MOVEit Transfer: from 2023.0.0 before 2023.0.11, from 2023.1.0 before 2023.1.6, from 2024.0.0 before 2024.0.2.
Błąd tkwi w module SFTP oprogramowania MOVEit Transfer i polega na nieprawidłowej implementacji procesu uwierzytelniania. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń ani interakcji ze strony użytkownika, może przeprowadzić atak przez sieć (AV:N, PR:N, UI:N) i skutecznie ominąć mechanizmy kontroli dostępu. Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie producenta.
Skuteczne wykorzystanie podatności pozwala atakującemu na nieuprawniony dostęp do systemu z możliwością odczytu oraz modyfikacji przechowywanych danych (C:H, I:H). Może to skutkować wyciekiem wrażliwych plików przesyłanych przez organizację lub ich nieautoryzowaną manipulacją.
Należy niezwłocznie zaktualizować Progress MOVEit Transfer do wersji eliminujących podatność: 2023.0.11 lub nowszej (dla gałęzi 2023.0.x), 2023.1.6 lub nowszej (dla gałęzi 2023.1.x), 2024.0.2 lub nowszej (dla gałęzi 2024.0.x). Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.
Progress MOVEit Transfer w wersjach: od 2023.0.0 przed 2023.0.11, od 2023.1.0 przed 2023.1.6, od 2024.0.0 przed 2024.0.2 — dotyczy wyłącznie modułu SFTP.
Podatność dotyczy wyłącznie modułu SFTP — organizacje nieużywające tego modułu powinny mimo to przeprowadzić aktualizację zgodnie z zaleceniami producenta. Biuletyn bezpieczeństwa opublikowany przez Progress w czerwcu 2024 r.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NProgress Moveit Transfer
APPProgress2024.0.02023.0.0 – 2023.0.11 (bez)2023.1.0 – 2023.1.6 (bez)
Powiązane podatności
In Progress MOVEit Transfer before 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5),...
In Progress MOVEit Transfer before 2020.1.11 (12.1.11), 2021.0.9 (13.0.9), 2021.1.7 (13.1.7), 2022.0.7 (14.0.7...
In Progress MOVEit Transfer before 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7),...
In Progress MOVEit Transfer before 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6),...
In certain Progress MOVEit Transfer versions before 2021.0.4 (aka 13.0.4), SQL injection in the MOVEit Transfe...