無論系統的安全性如何強勁,現代組織和企業都採用大量第三方軟件,如果存在漏洞的話實在防不勝防。已經造成不少網絡安全事故的 MOVEit 軟件,其開發商另一產品再被發現漏洞,同樣有機會影響大量機構。
MOVEit 檔案傳輸工具的開發商 Progress Software 最近再次成為了網絡安全界的焦點,旗下另一產品 WS_FTP 最近被發現存在漏洞,這 8 個漏洞牽涉其臨時傳輸模塊和伺服器管理介面,CVSS 嚴重性分數範圍從 5.3 到最嚴重的 10 不等,黑客可以透過最嚴重的漏洞在底層主機系統上執行命令,然後再利用其他漏洞進一步滲透到系統中。Progress Software 表示目前未有證據顯示 WS_FTP 的漏洞有被利用過,不過當時 MOVEit 漏洞被發現時他們也是同樣的說法。
與 MOVEit 一樣,WS_FTP 都有不少大型企業和機構採用,包括 Scientific American 和 H&M 等等,Progress Software 方面已經提醒客戶應該立即更新到最新版本修補漏洞。事件再次顯示上游攻擊的危險性,企業和機構認真定期審查系統中正在使用的軟件和其安全性變得越來越重要,一旦發現問題,也可以儘快實施適當的補救措施。
來源:The Register