Critical MOVEit Vulnerabilities Enables Authentication Bypass
2026/05/04 CyberSecurityNews — Progress Software が公開したのは、同社の MOVEit Automation プラットフォームに存在する深刻なセキュリティ脆弱性の情報である。2026年4月に発出された、この脆弱性を悪用する攻撃者は、セキュリティ・チェックをバイパスしてシステム全体を完全に制御する可能性がある。同社は、2 件の深刻な脆弱性 CVE-2026-4670/CVE-2026-5174 について注意を喚起している。
MOVEit Automation は、安全なファイル転送の管理および自動化のために企業環境で広く使用されている。その一方で、サイバー犯罪者にとって高価値な標的となっているため、同ソフトウェアを使用している組織は、直ちに最新パッチを適用し、不正なデータ・アクセスや潜在的な侵害を防ぐべきである。
MOVEit 認証バイパスの欠陥
このアラートは、Airbus SecLab の研究者チーム (Anais Gantet/Delphine Gourdou/Quentin Liddell/Matteo Ricordeau) により発見/報告された 2 件の欠陥に焦点を当てるものだ。このサービスのバックエンド・コマンド・ポート・インターフェイスを通じて、2 件の脆弱性を攻撃者が悪用するリスクを指摘している。
悪用に成功した攻撃者は、ログイン画面のバイパス/機密ファイルの窃取/サーバの完全な管理権限の取得などを可能にする。そのため、セキュリティ・チームにとって必要なことは、監査ログの確認や不審な権限変更に加えて、異常なバックエンド活動の有無を点検するなどの徹底した脅威ハンティングの実施である。
これらの脆弱性の技術的詳細は以下の通りである:
- CVE-2026-4670:認証バイパスを引き起こす欠陥であり、有効な認証情報を必要としないシステムへのアクセスを、未認証の外部ユーザーに許す。
- CVE-2026-5174:不適切な入力検証に起因する脆弱性であり、権限昇格を引き起こし、通常権限から管理者権限への昇格を攻撃者に許す。
これらの欠陥は、MOVEit Automation の複数世代に影響を及ぼすものである。Progress Software が強く推奨するのは、Web Admin ダッシュボードの “Help” メニュー内にある “About” セクションを確認し、現在の運用環境を速やかに検証することである。
影響を受けるバージョンは以下の通りである:
- MOVEit Automation 2025.1.4 以下のバージョン
- MOVEit Automation 2025.0.8 以下のバージョン
- MOVEit Automation 2024.1.7 以下のバージョン
すでに Progress Software は、最新リリースにおいて、これらの脆弱性を修正している。フル・インストーラを介して公式アップデートを適用することが、これらの脆弱性を解消する、唯一の正規の修正方法である。ただし、インストール作業中には短時間のシステム停止が発生するため、IT チームは業務への影響を考慮し、事前に計画を立てた上で対応する必要がある。
管理者は、以下の安全なバージョンへと更新する必要がある:
- MOVEit Automation 2025.1.5
- MOVEit Automation 2025.0.9
- MOVEit Automation 2024.1.8
有効なメンテナンス契約を保有する顧客は、Progress Community ポータルから必要なアップグレード・ファイルを取得可能である。その一方で、すでにサポート対象外の旧バージョンを使用している組織は、最新のサポート対象ライフサイクル・リリースへ移行することで、これら深刻な脅威から保護する必要がある。
訳者後書:今回の問題の原因は、主に認証プロセスの不備と入力値の検証不足にあります。具体的には、 CVE-2026-4670 (認証バイパス) により未認証のユーザーがシステムへ侵入できてしまう点や、 CVE-2026-5174 (権限昇格) において外部からの入力情報を正しくチェックできず、攻撃者に管理者権限を与えてしまう点が要因となっています。これらの脆弱性が連鎖的に悪用されると、サービスの管理ポートを通じてサーバーの完全な制御を許すリスクが生まれてしまいます。ご利用のチームは、ご注意ください。よろしければ、Progress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.