MOVEit Automation CVE-2026-5174 因 Cl0p 历史需紧急修补

执行摘要

Progress Software 披露了 CVE-2026-5174，这是 MOVEit Automation 中的高危不当输入验证漏洞，可导致权限提升。受影响范围包括 MOVEit Automation 2025.1.0 至 2025.1.5 之前版本、2025.0.0 至 2025.0.9 之前版本、2024.0.0 至 2024.1.8 之前版本，以及 2024.0.0 之前版本。

该漏洞与 CVE-2026-4670 一同出现在 Progress 2026 年 4 月安全公告中。后者是 MOVEit Automation 中的关键认证绕过漏洞。Progress 将这组风险描述为可能通过后端命令端口接口导致未授权访问、管理控制和数据暴露。对防守方而言，这个组合很重要：即便 CVE-2026-5174 本身需要低权限条件，它所在的产品也负责敏感文件传输工作流编排，可能接触凭据、任务定义和连接配置。

截至 2026 年 5 月 6 日，公开信息中尚无证据表明 CVE-2026-5174 已被某个具名 APT 组织、Cl0p 或其他特定攻击者利用。紧迫性来自暴露面与历史。2023 年，Cl0p 利用 MOVEit Transfer 中的 CVE-2023-34362 窃取多个组织的数据；CISA/FBI 公告将该组织描述为 Cl0p 勒索软件团伙，也称 TA505。MOVEit Automation 与 MOVEit Transfer 是不同产品，但攻击者已经清楚托管文件传输环境的价值。组织应立即修补，而不是等待出现确认利用后再行动。

技术分析

CVE-2026-5174 被归类为 CWE-20：不当输入验证。GitHub Advisory Database 列出的 Progress CNA CVSS 3.1 分数为 7.7，攻击向量为网络，攻击复杂度低，需要低权限且无需用户交互。NVD 当前补充评分为 8.8，因为其模型中机密性、完整性和可用性影响更高。两者都将该漏洞置于高危范围。

受影响产品是 MOVEit Automation，即 MOVEit 产品族中的工作流调度和编排组件。它不同于 2023 年 Cl0p 攻击中被大规模利用的 MOVEit Transfer。事件沟通中应明确这一区别。不过，MOVEit Automation 仍然是高价值目标，因为它负责在系统之间协调文件移动，并可能访问存储凭据、自动化任务、合作伙伴目的地和内部数据路径。

Progress 给出的修复版本为：

• MOVEit Automation 2025.1.5 或更高版本。
• MOVEit Automation 2025.0.9 或更高版本。
• MOVEit Automation 2024.1.8 或更高版本。
• 运行 2024.0.0 之前版本的系统应迁移到受支持的已修复分支。

CVE-2026-5174 与 CVE-2026-4670 同时披露，后者是 Progress 评分 9.8 的关键认证绕过漏洞。Censys 指出，这两个 CVE 在公告中被一起列出，但公开报告尚未显示一个可证明二者可被串联利用的 PoC。尽管如此，防守方仍应将这组漏洞视为紧急修补事件，因为 MOVEit Automation 一旦被控制，可能影响敏感传输工作流的管理控制权。

Cl0p 历史与 APT 评估

Cl0p 历史是这次公告值得管理层关注的核心背景。2023 年 5 月，Cl0p 利用 MOVEit Transfer 中的零日 SQL 注入漏洞 CVE-2023-34362 展开大规模数据窃取。CISA 和 FBI 将该组织称为 Cl0p 勒索软件团伙，也称 TA505，并表示攻击利用面向互联网的 MOVEit Transfer 应用，从底层数据库窃取数据。

这段历史并不意味着 Cl0p 正在利用 CVE-2026-5174，也不应把 Cl0p 描述为 APT 组织。更准确的评估是：MOVEit 产品族漏洞会吸引成熟网络犯罪团伙，也可能吸引 APT 团队关注，因为托管文件传输系统通常靠近受监管、面向合作伙伴或高价值的数据流。

我们的评估：未来数日至数周的利用风险升高。公开公告、NVD 补充信息和安全厂商分析已经足以让防守方排定修补优先级；同样的信息也会帮助攻击者盘点暴露或补丁滞后的部署。存在互联网可访问管理面、网络分段薄弱或补丁窗口延迟的组织，应将该问题视为紧急事项。

缓解措施与建议

立即将 MOVEit Automation 升级到对应分支的修复版本。不要等待确认 APT 或勒索软件利用后再安排紧急维护。

优先行动：

• 根据当前分支升级到 MOVEit Automation 2025.1.5、2025.0.9 或 2024.1.8。
• 如果运行 2024.0.0 之前版本，应升级到受支持的已修复版本，而不是继续保留不受支持分支。
• 仅允许可信管理网络访问 MOVEit Automation 管理界面和后端命令端口。
• 检查自动化任务、存储凭据、合作伙伴端点和近期管理变更，排查潜在滥用。
• 监控异常认证事件、任务修改、意外文件传输目的地、后端命令异常失败和新增账户。
• 在事件响应中将 MOVEit Automation 视为敏感编排系统，而不是普通工具服务器。

无法立即修补的组织，应先降低暴露：移除公网访问、启用管理网络白名单，并在完成升级前增强对 MOVEit 相关服务器的监控。