聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

今天，网络披露称 MOVEit Transfer 中出现一个新的 SQL 注入漏洞，因此Progress 公司提醒客户限制对环境的所有 HTTP 访问。该公司表示，该漏洞无补丁，不过正在测试并将在“不久”后发布。该漏洞也未获得CVE编号。

Progress 公司指出，“Progress 在MOVEit Transfer 中发现了一个漏洞，可导致提权和对该环境的潜在越权访问。鉴于新发布的漏洞，我们已经下架 MOVEit Cloud 的所有 HTTPs 流量，并正在要求所有的 MOVEit Transfer 客户立即阻止对环境的 HTTP 和 HTTPS 流量，在补丁发布前保护环境安全。”

在发布受影响 MOVEit Transfer 版本的安全更新前，Progress “强烈”建议修改防火墙规则，拒绝端口80和443上的 MOVEit Transfer 的 HTTP 和 HTTPs 流量，作为临时缓解措施。

即使用户不再能够通过 web UI 登录账户，但由于 SFTP 和 FTP/s 协议将继续正常运作，因此文件传输仍然可用。管理员也可通过远程桌面通过 https://localhost/ 连接至 Windows 服务器来访问 MOVEit Transfer。

虽然 Progress 公司并未分享该 SQLi 漏洞的详情在何处被分享，但至少有一名安全研究员在分享了看似是 MOVEit Transfer 0day 漏洞的 PoC 利用代码。该研究员表示他们认为 Progress 发布的提醒与他们正在准备的 PoC 有关。另外该漏洞是由 Huntress 公司的高级安全研究员 John Hammond 披露给 Progress 的，这也可能促使该公司发布提醒。

上周五，Progress 公司发布另一份安全公告披露了多个严重的 SQL 注入漏洞，它们获得统一的CVE编号CVE-2023-35036。这些漏洞是在5月31日的一次安全审计中发现的，而当时 Progress 公司发布公告称CVE-2023-34362被 Cl0p 勒索组织用于盗取数据。CVE-2023-35036 影响所有的 MOVEit Transfer 版本，且可导致未认证攻击者攻陷未修复和遭暴露的服务器以窃取客户信息。Cl0p 勒索团伙声称为 CVE-2023-34362 攻击负责并提到已经攻陷了“数百家公司”的 MOVEit 服务器。

Kroll 还发现 Cl0p 勒索团伙早在2021年就已经在测试现已修复的 MOVEit 0day 漏洞的利用，而且最早在2022年4月就从受陷的 MOVEit 服务器中提取被盗数据。

Cl0p 勒索团伙与其它针对文件传输管理平台的受影响广泛的攻击活动有关，包括2020年12月 Accellion FTA 服务器被攻陷，2021年 SolarWinds Serv-U Managed File Transfer 遭攻击，以及2023年1月 GoAnywhere MFT 服务器遭广泛利用。

受影响机构遭勒索

本周三，Cl0p勒索团伙已经开始勒索受 MOVEit 数据盗取攻击影响的组织机构，将其名称列入暗网数据泄露网站。

其中五个所列企业已证实受攻击影响。这些企业是英国跨国油气公司壳牌、佐治亚大学、UnitedHealthcare Student Resources (UHSR) 保险公司、Heidelberger Druck（海德堡印刷机公司）以及 Landal Greenparks 酒店等。其它披露已受影响的组织机构包括 Zellis（及其客户 BBC、Boots、Aer Lingus和爱尔兰的 HSE）、Ofcam、新斯科舍省政府、美国密苏里州、美国伊利诺伊州、罗切斯特大学、美国内科医学委员会、安大略省 BORN以及 Extreme Networks。

今天，CNN报道称，美国网络安全和基础设施安全局 (CISA) 也披露称美国多家联邦机构也受攻陷。联邦新闻网媒体报道称，美国能源部的两家实体也受攻陷。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

速修复MOVEit Transfer 中的这个新0day！

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器，将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞，可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码，四大代码托管平台撤销SSH密钥

因服务器配置不当，热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗，称客户数据不受影响

原文链接

https://www.bleepingcomputer.com/news/security/moveit-transfer-customers-warned-of-new-flaw-as-poc-info-surfaces/

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~