漏洞背景:MOVEit 再次站在风口浪尖
2026年4月30日,Progress Software 悄然发布了一份安全公告,披露了 MOVEit Automation 中的两个高危漏洞——CVE-2026-4670(关键认证绕过)和 CVE-2026-5174(高危权限提升)。其中 CVE-2026-4670 的 CVSS 评分高达 9.8,属于无需认证、可远程利用的严重漏洞。
对于熟悉企业文件传输安全动态的管理员来说,MOVEit 这个名字并不陌生。2023年5月,Cl0p 勒索软件组织利用 MOVEit Transfer 的零日漏洞(CVE-2023-34362),在短短数周内入侵了超过 2000 家组织,窃取了海量的薪资数据、医疗记录和政府文件。如今,MOVEit 产品家族中的"Automation"分支也出现了严重的安全缺陷,历史似乎正在重演。
CVE-2026-4670 技术解析:认证机制的根本性缺陷
根据 Airbus SecLab 研究人员的披露,CVE-2026-4670 的核心问题在于 MOVEit Automation 认证机制中的"主要弱点"(Primary Weakness)。攻击者可以构造特殊的请求,完全绕过系统的凭据验证环节,直接获得对应权限级别的访问权。
CVSS 3.1 向量为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这意味着:
- 攻击向量(AV:N):可通过网络远程利用,无需物理接触
- 攻击复杂度(AC:L):低复杂度,不需要特殊条件,脚本小子也能利用
- 所需权限(PR:N):无需任何有效凭据,匿名攻击者即可发起
- 用户交互(UI:N):无需诱导用户点击或执行任何操作
- 影响范围(C:H/I:H/A:H):机密性、完整性、可用性全部被完全破坏
更危险的是,同一公告中的 CVE-2026-5174(权限提升漏洞)可以与 CVE-2026-4670 形成完整的攻击链:
未认证攻击者 → 利用 CVE-2026-4670 绕过认证 → 获得普通用户权限 → 利用 CVE-2026-5174 提权 → 获得管理员权限 → 完全控制 MOVEit Automation 实例
affected 版本与修复版本对照
| MOVEit Automation 版本分支 | 受影响版本 | 安全版本 | 处理方式 |
|---|---|---|---|
| 2025.1.x | ≤ 2025.1.4 | 2025.1.5 | 升级至安全版本 |
| 2025.0.x | ≤ 2025.0.8 | 2025.0.9 | 升级至安全版本 |
| 2024.1.x | ≤ 2024.1.7 | 2024.1.8 | 升级至安全版本 |
| 2024.0.x 及更早 | 全部版本 | — | 升级至受支持版本分支 |
特别注意:Progress 官方明确指出,此漏洞不存在任何无需升级的临时缓解方案(Workaround)。唯一有效的修复方式是使用完整安装包进行升级。这意味着无法通过修改配置文件、限制网络访问等方式临时封堵漏洞——当然,限制管理界面的网络访问仍然是一个有效的深度防御措施。
当前威胁态势:尚未出现在野利用,但风险极高
截至本文撰写时,尚未有公开证据表明 CVE-2026-4670 已被在野利用,也没有公开的 PoC 利用代码。然而,考虑到以下因素,企业应立即采取行动:
- MOVEit 是高级威胁行为者的首选目标:Cl0p 组织在2023年利用 MOVEit Transfer 漏洞时,采用了"补丁发布前已开始扫描,补丁发布后数日内完成武器化"的战术。CVE-2026-4670 的利用复杂度极低(AC:L),一旦 PoC 公开,大规模利用只是时间问题。
- MOVEit Automation 处理高价值数据:与 MOVEit Transfer 类似,Automation 版本主要用于企业内部的自动化文件传输流程,往往涉及薪资数据、财务报表、医疗信息等高度敏感的文件。成功利用此漏洞的攻击者可以窃取、篡改或删除这些文件。
- 攻击窗口期正在扩大:漏洞详情已公开,防御者的补丁周期通常以周为单位,而攻击者的武器化周期可能只需数天。
企业应对建议
针对此次漏洞,我们建议企业 IT 团队采取以下措施:
第一优先级:立即升级
前往 Progress 客户门户下载对应版本的安全更新,使用完整安装包进行升级。升级前请务必做好系统和数据库的完整备份。
第二优先级:网络层隔离
如果暂时无法安排升级窗口,应将 MOVEit Automation 的 Web 管理界面和 API 端口限制为仅允许已知管理 IP 段访问,禁止从互联网直接访问。虽然这不能修复漏洞,但可以显著增加攻击者的利用难度。
第三优先级:审计认证日志
对 MOVEit Automation 的审计日志进行回溯分析,重点排查以下异常行为:
- 来源 IP 地址异常的登录记录
- 用户名为空或认证结果为非 SUCCESS 的会话记录
- 近期创建的可疑管理员账号
- 异常的文件传输任务(特别是向外传输大量文件的任务)
第四优先级:轮换所有存储凭据
如果怀疑系统已被入侵,在打完补丁后,应立即轮换 MOVEit Automation 中存储的所有 SFTP、FTP 和 API 连接凭据。在安全行业中,这一原则被称为"Assume Breach"——假设凭证已经泄露,全面更换。
经验总结:文件传输软件的安全红线
作为 IT 外包服务人员,我们在协助企业客户评估和管理文件传输解决方案时,始终强调以下几点原则:
首先,文件传输软件应被视为"高价值攻击目标",其安全等级不应低于域控制器和邮件服务器。这类软件通常具有高级别的文件读写权限,且往往存储了大量外部系统的认证凭据,一旦失守,攻击影响会快速扩散。
其次,建立补丁管理的"黄金72小时"机制。对于 CVSS 评分≥9.0 的漏洞,应在漏洞披露后72小时内完成评估并安排补丁;对于已被在野利用的漏洞,这一窗口应缩短至24小时。
最后,不要忽视"非核心"业务系统。许多企业的安全投入集中在面向互联网的核心业务系统上,而 MOVEit Automation 这类"内部工具"往往被忽视。但攻击者恰恰善于利用这种盲区——2023年的 Cl0p 事件已经充分证明了这一点。
如果您对此次漏洞有更多疑问,或需要协助评估、升级 MOVEit Automation 系统,欢迎通过我们的网站留言板联系,我们将竭诚为您提供专业的技术支持服务。