在2023年上半，Progress公司因旗下檔案傳輸管理系統MOVEit的漏洞CVE-2023-34362，遭到駭客濫用，後續藉此攻擊全球32國、兩千多個組織，而鬧得沸沸揚揚，我們也將此弱點列為2023年頭號資安漏洞，本週他們在自家網站的知識庫公告MOVEit產品線有兩個重大漏洞，分別是：位於檔案傳輸代理伺服器MOVEit Gateway的CVE-2024-5805，以及建置在內網環境的檔案傳輸系統MOVEit Transfer的CVE-2024-5806，都是因為當中搭配的SFTP模組，居然允許略過身分認證的程式，所以產生資安漏洞，而這兩個資安弱點的嚴重程度都被評為「重大」，CVSS分數高達9.1分。

為了要解決這樣的問題，Progress現在發布這兩個產品的更新版本。若企業與組織目前採用MOVEit Gateway的2024.0.0版，需為此升級到2024.0.1版，即可修補CVE-2024-5805；若採用MOVEit Transfer的2023.0.0、 2023.1.0、2024.0.0這三個版本，需各自升級到2023.0.11、2023.1.6、2024.0.2。

以監測漏洞暴露在網際網路的全球威脅態勢著稱的非營利組織Shadowserver基金會，在6月25日Progress發布相關訊息的當天，就觀察到有心人士蠢蠢欲動。因為他們發現，當這些資訊公開後沒多久，就出現試圖利用CVE-2024-5806的行為，有人想要趁機在系統的根目錄上傳guestaccess.aspx，進行滲透，而且，根據他們的統計，目前暴露在網際網路的Progress系統，至少有1,800臺，雖然這些環境並非全都具有上述漏洞，但可想而知，若攻擊者想要行動，它們勢必會是最先被鎖定的對象。

Very shortly after vulnerability details were published today we started observing Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx exploit attempts. If you run MOVEit & have not patched yet - please do so now: https://t.co/AenLgqg1wM

NVD: https://t.co/OHQRNFNE9p

— The Shadowserver Foundation (@Shadowserver) June 25, 2024

關於CVE-2024-5806漏洞，設立於新加坡的新創資安廠商watchTowr其實在Progress公開之前，就已經收到知情人士的通報，因而提前得知這個當時尚未被揭露的弱點，也率先發布部落格文章解析CVE-2024-5806的問題、概念驗證攻擊手法，以及修正與緩解方式。

Progress just un-embargoed a very closely guarded auth bypass in MOVEit Transfer's SFTP mechanism - CVE-2024-5806.

We were lucky enough to receive a tip-off :-) Enjoy our analysis, we had a lot of fun.https://t.co/GLoCIAki9w

— watchTowr (@watchtowrcyber) June 25, 2024