出典: Security NEXT – https://www.security-next.com/176540
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性が発見され修正版が公開
Progress Softwareのファイル転送製品「MOVEit Transfer」に、サービス拒否(DoS)攻撃を受ける恐れのある脆弱性が報告されました。特に「AS2モジュール」においてリソースを過剰消費させる脆弱性「CVE-2025-10932」が確認されており、同社は早急なアップデート適用を呼びかけています。
主要なポイント
- 脆弱性の内容:AS2モジュールにて、細工したリクエストを送ることでリソースを過剰に消費させ、サービス拒否(DoS)状態を引き起こす可能性がある。
- 脆弱性評価:CVSSv3.1のベーススコアは8.2で、「高(High)」の重要度に分類されている。
- 対応状況:「MOVEit Transfer」の複数バージョン(2025.0.3、2024.1.7、2023.1.16)で修正版がリリースされている。
- 対策の強化:アップデート後はAS2モジュール利用時にIPアドレスの許可リスト登録が必須となる。
- 回避策:AS2エンドポイントを一時的に削除することで脆弱性の影響を回避可能。
技術的な詳細や背景情報
「MOVEit Transfer」は企業間で安全にファイルを転送するためのソフトウェアであり、その中の「AS2モジュール」はAS2(Applicability Statement 2)プロトコルを用いてメッセージの送受信を行います。AS2は電子データ交換(EDI)で広く使われる標準プロトコルであり、セキュリティや信頼性が求められます。
今回の脆弱性「CVE-2025-10932」は、AS2モジュールが特定の細工されたリクエストを処理する際に、システムリソース(CPUやメモリ)を過剰に消費してしまう問題です。これにより、正規のサービスが停止または遅延する「サービス拒否(DoS)」状態を引き起こす可能性があります。
CVSS(Common Vulnerability Scoring System)v3.1でのスコア8.2は、攻撃の難易度や影響範囲を考慮して「高リスク」と評価されており、迅速な対応が求められます。
影響や重要性
ファイル転送は企業の業務において重要な役割を担っており、特に機密情報や取引データのやり取りに使われることが多いため、サービス停止は業務に大きな支障をきたします。また、DoS攻撃はシステムの可用性を低下させ、場合によっては他のセキュリティ対策の隙を生むこともあります。
今回の脆弱性は、攻撃者が細工したリクエストを送るだけで発生するため、攻撃のハードルは比較的低いと考えられます。したがって、MOVEit Transferを利用している企業は速やかに修正版へのアップデートを実施し、IPアドレスの許可リスト設定を行うことが重要です。
なお、Progress Softwareが提供するクラウドサービス版は既に修正済みであり、オンプレミス環境のユーザーが特に注意を払う必要があります。
まとめ
MOVEit TransferのAS2モジュールに存在するDoS脆弱性「CVE-2025-10932」は、細工されたリクエストによりサービス停止を引き起こすリスクが高い問題です。Progress Softwareは複数バージョンで修正版を公開し、IPアドレスの許可リスト登録を必須化するなどの対策を講じています。利用者は速やかにアップデートを適用し、必要に応じてAS2エンドポイントの一時削除などの回避策も検討してください。安全なファイル転送環境を維持するため、継続的なセキュリティ対策が求められます。
