一、漏洞概述与紧急预警2026年4月30日Progress Software发布紧急安全公告披露了其企业级托管文件传输(MFT)平台MOVEit Automation中的两个严重安全漏洞其中CVE-2026-4670被评为CVSS 3.1 9.8分的最高危级别。这是继2023年震惊全球的MOVEit Transfer供应链攻击事件后Progress MOVEit产品线再次出现可被未授权远程利用的致命漏洞。CVE-2026-4670是一个存在于MOVEit Automation服务后端命令端口接口的认证绕过漏洞攻击者无需任何有效凭据或用户交互仅通过低复杂度攻击即可完全绕过身份验证机制获得对目标系统的访问权限。配合同时披露的CVE-2026-5174(CVSS 7.7分)权限提升漏洞攻击者能够直接获取MOVEit Automation实例的完整管理员控制权。截至2026年5月6日虽然Progress官方尚未报告该漏洞在野利用的情况但考虑到MOVEit产品在全球企业、政府机构和金融机构中的广泛部署以及2023年Clop勒索软件团伙利用类似漏洞造成的灾难性影响安全专家普遍认为该漏洞的利用代码将在短期内出现组织必须立即采取行动进行修复。二、漏洞原理与技术细节2.1 MOVEit Automation架构简介MOVEit Automation(前身为MOVEit Central)是Progress Software推出的企业级工作流自动化引擎与MOVEit Transfer协同工作负责调度和自动化企业内部及跨组织的文件传输流程。它允许用户创建复杂的文件处理工作流包括文件加密、压缩、格式转换、数据集成和通知等功能广泛应用于金融、医疗、政府和制造业等对数据安全要求极高的行业。MOVEit Automation采用客户端-服务器架构其核心服务运行在Windows服务器上通过多个网络接口提供服务前端Web界面供管理员和用户进行配置和监控后端命令端口用于处理内部服务通信和远程管理各种文件传输协议接口包括FTP/S、SFTP、HTTP/S等本次披露的两个漏洞均存在于服务后端命令端口接口中这是一个之前较少受到关注但至关重要的攻击面。2.2 CVE-2026-4670认证绕过漏洞分析根据Progress官方公告和安全研究人员的初步分析CVE-2026-4670是一个主要弱点导致的认证绕过漏洞。虽然官方尚未公布详细的技术细节但从漏洞描述和影响范围可以推断该漏洞可能源于以下几种常见的认证机制缺陷硬编码凭据或默认凭据后端命令端口可能使用了硬编码的管理员凭据攻击者可以直接使用这些凭据进行身份验证缺失的身份验证检查某些关键的命令处理函数没有正确执行身份验证检查允许未授权用户直接调用不安全的会话管理会话令牌生成算法存在缺陷攻击者可以预测或伪造有效的会话令牌协议设计缺陷后端命令协议本身存在设计缺陷允许攻击者绕过认证流程无论具体原因是什么该漏洞的核心危害在于完全绕过身份验证这意味着攻击者可以像合法管理员一样访问MOVEit Automation的所有功能包括查看和修改所有工作流配置访问存储在任务中的敏感凭据(如数据库密码、API密钥、SSH密钥等)下载和上传任意文件创建新的管理员用户执行任意系统命令(通过工作流功能)2.3 CVE-2026-5174权限提升漏洞分析CVE-2026-5174是一个高严重性的权限提升漏洞源于MOVEit Automation对用户输入的不正确验证。该漏洞允许已经获得基本访问权限的攻击者(无论是通过CVE-2026-4670还是其他方式)将其权限提升至管理员级别。虽然单独利用该漏洞需要攻击者已经拥有有效账户但与CVE-2026-4670结合使用时形成了一个极其危险的利用链攻击者利用CVE-2026-4670绕过认证获得基本用户权限攻击者利用CVE-2026-5174提升权限至管理员级别攻击者完全控制MOVEit Automation系统窃取数据或部署勒索软件三、影响范围与风险评估3.1 受影响的软件版本根据Progress官方公告以下MOVEit Automation版本受到CVE-2026-4670和CVE-2026-5174的影响产品版本受影响的版本范围已修复的版本MOVEit Automation 2025.1.x 2025.1.42025.1.5MOVEit Automation 2025.0.x 2025.0.82025.0.9MOVEit Automation 2024.1.x 2024.1.72024.1.8MOVEit Automation 2024.0.x及更早版本所有版本无官方修复建议升级至最新版本需要特别注意的是2024.0.x及更早版本的MOVEit Automation将不再获得官方安全更新使用这些版本的组织必须立即升级到受支持的最新版本。3.2 全球暴露情况根据网络搜索引擎Shodan的数据截至2026年5月5日全球有超过1,400个MOVEit Automation实例直接暴露在互联网上其中超过12个属于美国地方和州政府机构。实际受影响的组织数量可能远高于此因为许多企业将MOVEit Automation部署在内部网络中不直接暴露在互联网上。然而即使MOVEit Automation部署在内部网络中也不能完全避免攻击风险。攻击者可以通过钓鱼邮件、供应链攻击或其他方式先渗透到企业内部网络然后再利用CVE-2026-4670攻击MOVEit Automation系统。3.3 潜在危害评估成功利用CVE-2026-4670和CVE-2026-5174漏洞可能导致以下严重后果敏感数据泄露攻击者可以访问MOVEit Automation处理的所有文件包括财务报表、工资单、客户数据、医疗记录和知识产权等敏感信息凭据泄露MOVEit Automation任务中存储的各种凭据(数据库密码、API密钥、SSH密钥等)将被攻击者窃取用于进一步渗透企业网络勒索软件攻击攻击者可以加密MOVEit Automation服务器上的所有文件并向企业索要赎金供应链攻击攻击者可以修改MOVEit Automation的工作流将恶意软件注入到传输的文件中从而感染所有接收这些文件的合作伙伴和客户业务中断攻击者可以删除或修改工作流配置导致企业的关键文件传输流程中断造成严重的业务损失四、利用链分析与潜在攻击场景4.1 完整利用链推测虽然目前还没有公开的PoC(概念验证)代码但基于漏洞的性质和MOVEit Automation的功能安全专家已经推测出可能的完整利用链侦察阶段攻击者通过Shodan、ZoomEye等网络搜索引擎扫描互联网上暴露的MOVEit Automation实例识别目标系统的版本和配置初始访问阶段攻击者向目标系统的后端命令端口发送特制的请求利用CVE-2026-4670绕过认证获得基本用户权限权限提升阶段攻击者利用CVE-2026-5174漏洞将权限提升至管理员级别持久化阶段攻击者创建新的管理员用户或植入后门确保即使漏洞被修复后仍然能够访问系统数据收集阶段攻击者下载所有敏感文件和凭据收集企业网络的拓扑信息横向移动阶段攻击者使用窃取的凭据访问企业网络中的其他系统扩大攻击范围数据泄露或勒索阶段攻击者将窃取的数据泄露到暗网或者加密系统文件并索要赎金4.2 典型攻击场景基于2023年MOVEit Transfer攻击事件的经验以下是最可能出现的攻击场景勒索软件攻击Clop等知名勒索软件团伙很可能会将CVE-2026-4670作为主要攻击向量大规模扫描和攻击互联网上暴露的MOVEit Automation实例。他们会先窃取数据然后加密系统文件并威胁如果不支付赎金就将数据公之于众。有针对性的间谍活动国家支持的APT组织可能会利用该漏洞攻击政府机构、国防承包商和高科技企业窃取敏感的政治、军事和商业情报。供应链攻击攻击者可以利用MOVEit Automation作为跳板攻击其客户和合作伙伴。例如攻击者可以修改MOVEit Automation的工作流将恶意软件添加到发送给客户的文件中从而感染大量下游组织。五、缓解措施与应急响应指南5.1 立即采取的缓解措施Progress Software明确表示升级到最新的补丁版本是修复这两个漏洞的唯一方法。组织应立即按照以下步骤进行操作立即升级下载并安装MOVEit Automation的最新补丁版本2025.1.x版本用户升级至2025.1.52025.0.x版本用户升级至2025.0.92024.1.x版本用户升级至2024.1.82024.0.x及更早版本用户立即升级至2025.1.5或2024.1.8限制网络访问在完成升级之前应立即限制对MOVEit Automation后端命令端口的网络访问只允许受信任的IP地址连接。默认情况下MOVEit Automation使用TCP端口4000作为后端命令端口。监控审计日志仔细检查MOVEit Automation的审计日志查找任何异常活动如未经授权的登录尝试新用户创建工作流配置修改异常的文件下载或上传活动更改所有凭据即使没有发现被攻击的迹象也建议更改MOVEit Automation中存储的所有凭据包括管理员密码、数据库密码、API密钥和SSH密钥等。5.2 应急响应流程如果发现系统可能已经被攻击应立即启动以下应急响应流程隔离系统立即将受感染的MOVEit Automation服务器从网络中隔离防止攻击者进一步横向移动保留证据不要关闭或重启服务器保留所有系统日志和审计日志以便进行取证分析评估影响确定哪些数据可能被泄露哪些系统可能被攻击者访问通知相关方根据适用的法律法规通知受影响的客户、员工和监管机构清除威胁彻底清除系统中的恶意软件和后门重建受感染的服务器恢复服务在确保系统安全后恢复MOVEit Automation服务事后分析对攻击事件进行详细的事后分析找出安全漏洞和改进措施5.3 长期安全建议除了立即修复漏洞外组织还应采取以下长期安全措施以提高MOVEit平台的整体安全性定期更新和补丁管理建立严格的补丁管理流程及时应用所有安全更新网络分段将MOVEit平台部署在独立的网络段中与企业内部网络的其他部分隔离最小权限原则为MOVEit用户和服务账户分配最小必要的权限多因素认证为所有MOVEit用户启用多因素认证加密传输和存储确保所有文件在传输和存储过程中都进行了加密定期安全审计定期对MOVEit平台进行安全审计和渗透测试备份和恢复建立完善的备份和恢复流程确保在发生攻击时能够快速恢复数据和服务六、历史漏洞回顾与MFT平台安全趋势6.1 MOVEit产品历史漏洞回顾Progress MOVEit产品线近年来一直是网络攻击者的重点目标出现了多个严重的安全漏洞CVE-2023-343622023年5月披露的MOVEit Transfer SQL注入漏洞CVSS 9.8分。Clop勒索软件团伙利用该漏洞攻击了全球超过2,500个组织造成了数十亿美元的损失。CVE-2024-5805和CVE-2024-58062024年6月披露的MOVEit Gateway和MOVEit Transfer SFTP模块认证绕过漏洞CVSS 9.8分。CVE-2025-xxxx2025年MOVEit Transfer共披露了3个安全漏洞平均CVSS评分7.43分。这些漏洞的频繁出现表明MOVEit产品的安全架构存在根本性的缺陷需要Progress Software进行全面的安全审查和改进。6.2 MFT平台安全趋势MFT平台作为企业数据交换的核心枢纽存储和传输着大量的敏感信息因此一直是网络攻击者的高价值目标。近年来MFT平台安全呈现出以下趋势攻击频率和规模不断增加随着企业数字化转型的加速MFT平台的使用越来越广泛攻击事件的频率和规模也在不断增加。攻击手段越来越复杂攻击者不再满足于简单的漏洞利用而是采用更复杂的攻击手段如供应链攻击、零日漏洞利用和社会工程学等。勒索软件成为主要威胁勒索软件团伙越来越多地将MFT平台作为攻击目标因为它们可以一次性窃取大量敏感数据并对企业造成严重的业务中断。供应链攻击风险上升MFT平台连接着企业与其众多的合作伙伴和客户一旦被攻击可能会引发大规模的供应链攻击。七、总结与未来展望CVE-2026-4670和CVE-2026-5174的披露再次敲响了MFT平台安全的警钟。这两个漏洞的严重性和潜在影响不亚于2023年的MOVEit Transfer攻击事件如果不及时修复可能会导致类似的灾难性后果。对于组织来说立即升级到最新的补丁版本是当前最重要的任务。同时组织还应加强对MFT平台的安全防护采取网络分段、最小权限原则、多因素认证等综合安全措施提高整体安全防御能力。对于Progress Software来说这次漏洞事件是一个严重的信任危机。公司需要认真反思其产品安全开发流程加强安全架构设计和代码审查提高产品的整体安全性。只有这样才能重新赢得客户的信任。展望未来随着企业数字化转型的不断深入MFT平台的重要性将继续提升其安全风险也将随之增加。组织和厂商都需要更加重视MFT平台的安全共同构建一个更加安全的数字生态系统。