MOVEit安全托管文件传输(MFT)工具背后的公司ProgressSoftware警告用户，它发现了一个单独的漏洞，该漏洞也可用于通过恶意软件窃取他们的敏感数据，并敦促他们立即应用新发布的补丁。

本月早些时候，据透露，MOVEit存在一个高度严重的缺陷，该缺陷允许威胁行为者从数量不详的用户(很可能有数百名)中窃取数据。

该漏洞被追踪为CVE-2023-34362。消息传出后不久，据称隶属于俄罗斯政府的黑客组织Clop承担了此次攻击的责任，称数据样本很快就会出现在其数据泄露网站上，并且与受影响客户的谈判正在进行中。

MOVEit是企业以及中小型企业(SMB)使用的文件传输工具，用于以安全的方式共享敏感数据，例如个人身份信息、银行数据、健康信息等。这有助于企业防止可能导致身份盗窃、电信欺诈等的事件。

针对这一事件，Progress在网络安全公司Huntress的帮助下进行了详细的代码审查，也就是在这时发现了新的bug。它被描述为SQL注入缺陷，可以导致数据泄露和盗窃。MOVEit的所有版本都会受到影响，已添加。

Progress表示：“攻击者可以向MOVEitTransfer应用程序端点提交精心设计的有效负载，这可能会导致MOVEit数据库内容被修改和泄露。”该公司补充道：“所有MOVEitTransfer客户都必须应用2023年6月9日发布的新补丁。调查正在进行中，但目前我们还没有看到这些新发现的漏洞已被利用的迹象。”

该公司补充说，MOVEitCloud已经修复。