**Progress Software**は、同社のエンタープライズグレードのマネージドファイル転送（MFT）アプリケーションである**MOVEit Automation**に存在する重大な認証バイパス脆弱性について、顧客にパッチ適用を警告しました。 **MOVEit Automation**は、手動のスクリプティングを必要とせずに複雑なデータワークフローを自動化し、ローカルサーバー、クラウドストレージ、外部パートナーを含むさまざまなシステム間のファイル転送をスケジュールおよび管理するためのセントラルオーケストレーターとして機能します。 ### 脆弱性の詳細 **CVE-2026-4670**として追跡されているこのセキュリティ上の欠陥は、2025.1.5、2025.0.9、および2024.1.8より前のバージョンの**MOVEit Automation**に影響します。リモートの脅威アクターは、ユーザー操作を必要としない低複雑度の攻撃で、標的システム上の権限なしにこの脆弱性を悪用できます。 同社は木曜日のアドバイザリで、「当社はこの脆弱性に対処しました。**Progress MOVEit Automation**チームは、最新バージョンへのアップグレードを強く推奨します。」と述べています。「パッチが適用されたリリースへのアップグレード、フルインストーラーの使用が、この問題を解決する唯一の方法です。アップグレードの実行中はシステムが一時停止します。」 ### 追加の権限昇格脆弱性 同日、**Progress**は、同じソフトウェアにおける不適切な入力検証の弱点に起因する、高深刻度の権限昇格脆弱性（**CVE-2026-5174**）に対処するためのセキュリティアップデートもリリースしました。 ### 露出と潜在的な影響 Shodanの検索によると、1,400を超える**MOVEit Automation**インスタンスがオンラインで公開されており、そのうち十数件は米国地方および州政府機関に関連付けられています。 しかし、これらのシステムのうち、**CVE-2026-4670**攻撃に対していくつのシステムが既に保護されているかについての情報はまだありません。  *オンラインで公開されているMOVEit Automationインスタンスのマップ（Shodan）* ### 過去の悪用事例 同社はまだこれらのセキュリティ問題を「in the wild」（実際に悪用されている）とフラグ付けしていませんが、過去数年間で他の**MoveIT** MFTの脆弱性が攻撃の標的となっています。 例えば、**Clop**ランサムウェアギャングは、2023年に**MOVEit Transfer**セキュアファイル転送プラットフォームのゼロデイ脆弱性を悪用し、**Emsisoft**の推定によると2,100以上の組織と6,200万人以上の個人に影響を与えた大規模なデータ窃盗攻撃を実行しました。 MFTソフトウェアは、過去の**Clop**によるデータ窃盗キャンペーンで**Accellion FTA**、**SolarWinds Serv-U**、**Gladinet CentreStack**、**GoAnywhere MFT**、および**Cleo**のセキュリティ上の欠陥を標的としたのと同様に、ランサムウェア攻撃者にとって魅力的な標的となっています。 **Progress Software**によると、同社の**MOVEit** MFTソリューションは、世界中の3,000以上のエンタープライズ組織と100,000人以上のユーザーによって使用されています。