MOVEit Transfer 应用的新零日漏洞曝光

重点摘要

• Progress Software 的 MOVEit Transfer 文件传输应用程序存在新的零日漏洞。
• 该漏洞由一名道德黑客 ＠MCKSysAr 在 Twitter 上意外曝光。
• 漏洞在另一种已被利用的漏洞出现后被发现， Clop 勒索软件团伙对此漏洞进行了攻击。
• 尽管漏洞细节被提前泄露，但没有证据表明存在积极利用的情况。
• Progress Software 已于次日发布了修复补丁。

根据 报道，Progress Software 的 MOVEit Transfer 文件传输应用程序出现了一项新的零日漏洞。这一信息是由道德黑客和漏洞利用作者向 Huntress 高级研究员 JohnHammond 披露的，但不幸的是，这一漏洞细节在 Twitter 上被漏洞利用作者不小心泄露。

该新的零日漏洞是在另一个已被 Clop 勒索软件团伙积极利用的漏洞出现后发现的。Hammond 曾试图请求 Twitter删除有关该漏洞的相关信息，但由于信息在 Slack 上已经传播，他随即通知了 Progress Software。第二天，Progress已发布了修复补丁。与此同时，这位自称 ＠MCKSysAr 的道德黑客对此早期泄露表示道歉，指出他并不知道这是一项新的漏洞。

尽管漏洞细节在补丁发布前已经流出，但 Progress 的发言人 John Eddy 表示没有证据表明这一漏洞被积极利用。Eddy还表示：“在整个行业中，这种类型的软件漏洞每年都会被发现成千上万次，通常的处理流程是直接向公司负责地通知，以限制风险，而不是像这里那样公开发布。”

这次事件再次提醒我们，在网络安全领域，及时和负责任地处理漏洞信息对于保护用户和企业至关重要。