Una vulnerabilità di sicurezza con gravità critica (SQL Injection non ancora classificata) nel software MOVEit Transfer di Progress, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’escalation dei privilegi e l’accesso non autorizzato sui sistemi target.
“È stata rilevata una vulnerabilità SQL injection nell’applicazione Web MOVEit Transfer che potrebbe consentire a un utente malintenzionato non autenticato di ottenere l’accesso non autorizzato al database di MOVEit Transfer. A seconda del motore di database utilizzato (MySQL, Microsoft SQL Server o Azure SQL), un utente malintenzionato potrebbe essere in grado di dedurre informazioni sulla struttura e sul contenuto del database oltre a eseguire istruzioni SQL che alterano o eliminano gli elementi del database” si legge nel bollettino di sicurezza.
MoVEit
MoVEit è una applicazione Web di trasferimento di file e di automazione per azienda che garantisce l’affidabilità dei processi aziendali principali consentendo il trasferimento di dati sensibili tra partner, clienti e sistemi in modo sicuro e conforme.
Misure di mitigazione
Secondo le dichiarazioni della stessa Progress, si raccomanda di seguire le mitigazioni proposte seguendo le indicazioni del bollettino di sicurezza e applicando le patch quanto prima.
Tutte le versioni del prodotto sarebbero coinvolte:
- 2023.0.0, versioni precedenti alla 2023.0.1
- 2022.1.x, versioni precedenti alla 2022.1.5
- 2022.0.x, versioni precedenti alla 2022.0.4
- 2021.1.x, versioni precedenti alla 2021.1.4
- 2021.0.x, versioni precedenti alla 2021.0.6
Best practice
In generale per ridurre i rischi da accessi non autorizzati, ai propri clienti Progress consiglia inoltre di aggiornare le regole firewall e i criteri di accesso remoto, consentire l’accesso in entrata solo ad entità attendibili e abilitare l’autenticazione MFA.