米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年7月7日(米国時間)、「Progress Software Releases Service Pack for MOVEit Transfer Vulnerabilities|CISA」において、MOVEit Transferに存在する複数の深刻な脆弱性に対処したService Packがリリースされたと伝えた。MOVEit Transferの脆弱性はサイバー攻撃に悪用されていることが確認されているため注意が必要。

  • Progress Software Releases Service Pack for MOVEit Transfer Vulnerabilities|CISA

    Progress Software Releases Service Pack for MOVEit Transfer Vulnerabilities|CISA

MOVEit Transferに存在する重大な脆弱性に対し、パッチが適用されている。対処されている脆弱性は次のとおり。

  • CVE-2023-36934:MOVEit Transfer WebアプリケーションにSQLインジェクションの脆弱性。認証されていない攻撃者にMOVEit Transferデータベースに不正アクセスされてしまう可能性がある
  • CVE-2023-36932:MOVEit Transfer Webアプリケーションに複数のSQLインジェクションの脆弱性。認証済みの攻撃者がMOVEit Transferデータベースに不正アクセスできる可能性がある
  • CVE-2023-36933:攻撃者が未処理の例外を発生させるメソッドを呼び出し、MOVEit Transferアプリケーションを予期せずに終了させる可能性がある

CVE-2023-36934に関しては深刻度が緊急(Critical)に分類されており注意が必要。CISAは、Progress Softwareが公開したMOVEit Transfer 2020.1 (12.1) Service Pack (July 2023) - Progress Communityの情報を確認するとともに、必要に応じてアップデートを適用することを推奨している。