快科技6月27日消息，據(jù)媒體報道，Progress公司本周在官網(wǎng)公告MOVEit產(chǎn)品線有兩個重大漏洞，分別是：位于文件傳輸代理服務器MOVEit Gateway的CVE-2024-5805，以及構(gòu)建在內(nèi)網(wǎng)環(huán)境的文件傳輸系統(tǒng)MOVEit Transfer的CVE-2024-5806。

這兩個漏洞都是因為其中搭配的SFTP模塊，可以允許略過身份認證的程序，所以產(chǎn)生安全漏洞，同時這兩個安全弱點的嚴重程度都被評為“重大”，CVSS分數(shù)高達9.1分。

據(jù)Shadowserver組織的研究人員觀察，該漏洞在公開后不久即遭到黑客利用，對全球多家組織構(gòu)成威脅，可能成為2024年最大的安全事件。

watchTowr實驗室的研究人員指出，黑客可以利用該漏洞進行讀取、寫入或刪除文件等操作，甚至可能造成更大的混亂。

據(jù)了解，MOVEit 是一款專為企業(yè)定制的管理工具，幫助企業(yè)使用SFTP、SCP和HTTP協(xié)議傳輸和管理文件。

安全公司Censys的一次單獨掃描中發(fā)現(xiàn)，全球已經(jīng)有超過2700個組織和機構(gòu)部署了該系統(tǒng)。

在2023年，MOVEit就因CVE-2023-34362漏洞遭到黑客濫用，后續(xù)借此攻擊全球32國、兩千多個組織，而鬧得沸沸揚揚，這個漏洞也被列為2023年頭號安全漏洞

目前Progress已經(jīng)發(fā)布更新版本修復漏洞，MOVEit Gateway升級到2024.0.1版，即可修補CVE-2024-5805；MOVEit Transfer的2023.0.0、 2023.1.0、2024.0.0三個版本，需各自升級到2023.0.11、2023.1.6、2024.0.2。