Progress Patches MOVEit Transfer Uncontrolled Resource Consumption Vulnerability
2025/10/31 CyberSecurityNews — Progress Software が発表したのは、広く利用されている企業向けファイル転送ソリューション MOVEit Transfer に影響を与える、深刻度の高い脆弱性を修正する重要なセキュリティ・パッチである。この脆弱性 CVE-2025-10932 (CVSS:8.2) が影響を及ぼす範囲は、MOVEit の複数バージョンの AS2 モジュールである。この AS2 モジュールに存在する、制御不能なリソース消費の脆弱性を悪用する攻撃者は、システム・リソースを枯渇させることでサービスの可用性を阻害し得る。
この脆弱性が存在するのは、バージョン 2025.0.0〜2025.0.2/2024.1.0〜2024.1.6/2023.1.0〜2023.1.15 である。認証やユーザー操作を必要とせず、ネットワークから到達可能な攻撃ベクターが存在するため、影響を受けるバージョンを使用している組織は、サービスの中断や悪用の可能性に直面している。
MOVEit Transfer の脆弱性
この脆弱性はリソース消費に対する不適切な制御に起因しており、CWE-400 に分類される。このカテゴリの脆弱性を悪用する攻撃者は、過剰なリソース割り当てを強制することでシステムを圧倒し、正当な業務運営に影響を与えるサービス拒否状態 (DoS) を引き起こせる。
すでに Progress は、AS2 モジュールの IP アドレスをホワイトリストに登録することで、不正アクセスに対する保護バリアを構築するホットフィックスを配布している。ユーザー組織にとって必要なことは、それぞれの導入モデルに応じた対策を、速やかに講じることである。
MOVEit 製品で AS2 モジュールを使用していない企業のケースでは、一時的な回避策として脆弱なエンドポイントの削除が可能である。管理者にとって必要なことは、”C:\MOVEitTransfer\wwwroot” ディレクトリからの “AS2Rec2.ashx” と “AS2Receiver.aspx” の削除となる。この方法はサーバの再起動を必要とせず、永続的なパッチ適用までの間のリスクを低減できる。
AS2 機能を積極的に使用している組織においては、ホットフィックスの適用が必須となる。パッチ適用済みの MOVEit Transfer 2025.0.3/2024.1.7/2023.1.16 へとアップデートした後に、承認された取引先に対して IP ホワイトリスト・ルールを設定する必要がある。
| Attribute | Value |
|---|---|
| CVE ID | CVE-2025-10932 |
| Product | Progress MOVEit Transfer |
| Vulnerability Type | Uncontrolled Resource Consumption |
| Affected Module | AS2 Module |
| CVSS Score | 8.2 (HIGH) |
そのためには、MOVEit Transfer に管理者としてログインし、”Settings” に移動して、”Security Policies” にアクセスする。そこで、Remote Access Rules を設定して、AS2 モジュールへのアクセスを信頼できるパートナーの IP アドレスに制限する必要がある。
現時点で有効な保守契約を保持しているユーザー向けには、Progress のダウンロード・センターから修正バージョンが提供される。そのパッチは、3つのメジャー・バージョン・ラインに対して提供されており、サポートされている製品ブランチ内でアップデートを行える。
有効な保守契約を持たないユーザーの場合は、Progress の更新サービスまたは指定のパートナー・アカウント担当者に問い合わせるべきである。
なお、すでにクラウド・インフラに対しては、パッチ適用済みバージョンへのアップグレードが完了しているため、Progress MOVEit Cloud ユーザーは対応する必要がない。ただし、オンプレミス環境では、脆弱性の影響を軽減するための、迅速な対応が必要である。
これらのアクティブ・ブランチ以外の MOVEit Transfer バージョンを実行している組織は、サポートされているリリースへのアップグレード、または、一時的な AS2 エンドポイント削除の回避策を優先する必要がある。
MOVEit Transfer の脆弱性は、AS2 モジュールにおいてリソース消費を適切に制御できないことに起因します。この欠陥を突く攻撃者は、サーバに過剰な負荷をかけ、システム・リソースを枯渇させ、サービス停止へと追い込むことが可能とされます。認証なしで攻撃が成立する点も危険であり、パブリックな環境では高リスクとなります。ご利用のチームは、ご注意ください。よろしければ、MOVEit で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.