CVE-2023-34362

Progress MOVEit Transfer

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-06-02

Официальное описание

Progress MOVEit Transfer contains a SQL injection vulnerability that could allow an unauthenticated attacker to gain unauthorized access to MOVEit Transfer's database. Depending on the database engine being used (MySQL, Microsoft SQL Server, or Azure SQL), an attacker may be able to infer information about the structure and contents of the database in addition to executing SQL statements that alter or delete database elements.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-34362 — это критическая уязвимость типа SQL-инъекция в веб-интерфейсе MOVEit Transfer, позволяющая неавторизованному злоумышленнику получить доступ к базе данных приложения. В зависимости от используемой СУБД (MySQL, Microsoft SQL Server или Azure SQL), атакующий может не только извлекать конфиденциальную информацию, но и изменять или удалять данные.

В ходе активных атак данная уязвимость использовалась для загрузки вредоносного кода (web-shells) и последующей кражи данных из файлового хранилища.

Как исправить

Для полного устранения уязвимости необходимо обновить MOVEit Transfer до актуальной защищенной версии.

  1. Определите текущую версию вашего ПО.
  2. Скачайте соответствующий патч из официального портала Progress.
  3. Установите обновление для вашей ветки:
  4. MOVEit Transfer 2023.0.x (15.0) — обновиться до 2023.0.1 (15.0.1) или выше.
  5. MOVEit Transfer 2022.1.x (14.1) — обновиться до 2022.1.5 (14.1.5) или выше.
  6. MOVEit Transfer 2022.0.x (14.0) — обновиться до 2022.0.4 (14.0.4) или выше.
  7. MOVEit Transfer 2021.1.x (13.1) — обновиться до 2021.1.4 (13.1.4) или выше.
  8. MOVEit Transfer 2021.0.x (13.0) — обновиться до 2021.0.6 (13.0.6) или выше.

Временные меры

Если немедленное обновление невозможно, необходимо выполнить следующие действия для минимизации риска:

  1. Заблокируйте входящий трафик по портам HTTP (80) и HTTPS (443) на сервере MOVEit Transfer.
New-NetFirewallRule -DisplayName "Block HTTP" -Direction Inbound -LocalPort 80 -Protocol TCP -Action Block


New-NetFirewallRule -DisplayName "Block HTTPS" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Block

  1. Проверьте наличие подозрительных файлов в директории \MOVEitTransfer\wwwroot\, особенно файлы с расширением .aspx (например, human2.aspx).

  2. Проверьте логи IIS на наличие запросов к подозрительным файлам или необычных POST-запросов к guestaccess.aspx.

Select-String -Path "C:\inetpub\logs\LogFiles\W3SVC1\*.log" -Pattern "human2.aspx"

  1. Удалите все неавторизованные учетные записи пользователей и сбросьте учетные данные для доступа к базе данных.

  2. После установки патчей разрешите трафик, удалив созданные правила блокировки.

Remove-NetFirewallRule -DisplayName "Block HTTP"


Remove-NetFirewallRule -DisplayName "Block HTTPS"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей