本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/06/04 BleepingComputer — CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じた。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされる。
2022年11月に発生発せられた米政府の拘束的運用指令 (BOD 22-01) によると、連邦民間行政機関 (FCEB) は、CISA の Known Exploited Vulnerabilities カタログに追加された脆弱性に対して、パッチの適用が必須となる。
BOD 22-01 は、主に連邦政府機関を対象としたものであるが、民間企業においても、積極的に悪用される MOVEit Transfer の脆弱性に関しては、システムの安全性をアク補するために、優先して対処することが強く推奨されている。
Progress は、すべての顧客に対して、MOVEit Transfer インスタンスにパッチを適用し、悪用の試みと潜在的な侵害をブロックすることを推奨している。
また、セキュリティ・アップデートを直ちに適用できない場合は、MOVEit Transfer 環境への HTTP/HTTPS トラフィックを全て無効化し、攻撃対象範囲を狭めることも可能である。
影響を受ける MOVEit Transfer のバージョンと、修正されたバージョンの一覧は、以下の表で確認できる。
・・・
|
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today