脆弱性の概要
Progress Softwareは、2025年10月29日に発見されたMOVEit Transferプラットフォームの高 severity の脆弱性(CVE-2025-10932)に対するセキュリティパッチをリリースしました。この脆弱性はAS2モジュールに影響を与え、攻撃者が適切な制限なしにシステムリソースを消費することを可能にします。CVSSスコアは8.2(HIGH)と評価されており、緊急の対応が求められます。
この問題は、認証やユーザーインタラクションを必要とせず、攻撃者がリモートから容易に悪用できる点が特に危険です。
脆弱性の詳細と影響
この脆弱性は「Uncontrolled Resource Consumption (CWE-400)」に分類され、MOVEit Transfer内のAS2モジュールに影響を与えます。攻撃者は特別に細工されたリクエストを送信することで、過剰なサーバーリソースを消費させ、結果としてサービス品質の低下やシステム全体の利用不能(サービス拒否攻撃)を引き起こす可能性があります。これにより、重要なビジネスオペレーションやファイル転送ワークフローが中断される恐れがあります。
以下のMOVEit Transferのバージョンがこの脆弱性の影響を受けます。
- 2025.0.0から2025.0.2まで
- 2024.1.0から2024.1.6まで
- 2023.1.0から2023.1.15まで
金融機関、医療機関、政府機関など、MOVEit Transferをセキュアなファイル交換やデータ管理に利用している数千の企業がリスクに晒されています。
対策と推奨事項
Progress Softwareは迅速に対応し、パッチ適用済みのバージョンをリリースしました。現在のメンテナンス契約を結んでいる顧客は、Progress Download Centerから以下の修正済みバージョンをダウンロードできます。
- MOVEit Transfer 2025.0.3
- MOVEit Transfer 2024.1.7
- MOVEit Transfer 2023.1.16
パッチを直ちに適用できない組織に対しては、Progress Softwareは一時的な保護措置を推奨しています。具体的には、インストールディレクトリから特定のファイルを削除してAS2モジュールを一時的に無効にするか、信頼できるAS2取引パートナーのIPアドレスをホワイトリストに追加することで、露出を制限することができます。
MOVEit Cloudの顧客は、Progress Softwareによって既にパッチ適用済みのバージョンにアップグレードされているため、特別な対応は不要です。オンプレミス環境でMOVEit Transferを運用している組織は、この脅威からシステムを保護するために積極的な措置を講じる必要があります。
元記事: https://gbhackers.com/progress-patch-moveit-transfer-resource-consumption-flaw/