Jetzt patchen! Angreifer leiten Daten über MOVEit-Transfer-Sicherheitslücke aus
Derzeit setzen Angreifer an einer Schwachstelle in der Dateiübertragungssoftware MOVEit Transfer an. Sicherheitspatches sind verfügbar.
(Bild: Photon photo/Shutterstock.com)
Wenn Unternehmen etwa Dokumente mit MOVEit Transfer austauschen, sollten Admins für ihre On-Premises-Installationen umgehend die aktuellen Sicherheitsupdates installieren. Angreifer nutzen derzeit aktiv eine Sicherheitslücke aus und verschaffen sich darüber Zugriff auf interne Firmendaten.
Jetzt patchen!
In einer Warnmeldung stufen die Entwickler der Dateiübertragungssoftware die Lücke als "kritisch" ein. Eine CVE-Nummer wurde noch nicht vergeben. Aufgrund der Attacken raten sie zu einer umgehenden Aktualisierung. Ihnen zufolge sind für alle im Support befindlichen Versionen die folgenden Sicherheitsupdates erschienen:
- MOVEit Transfer 2023.0.1
- MOVEit Transfer 2022.1.5
- MOVEit Transfer2022.0.4
- MOVEit Transfer 2021.1.4
- MOVEit Transfer 2021.0.6
Wer nicht mehr im Support befindliche Ausgaben einsetzt, sollte zum Schutz der Systeme umgehend den HTTPS/HTTPS-Traffic auf den Ports 80 und 443 blockieren.
Sicherheitsforschern zufolge soll auch die SaaS-Plattform von MOVEit Transfer betroffen sein. Auch die Cloud-Version soll verwundbar sein. Der Anbieter der Dateiübertragungssoftware hat versichert, umgehend Schritte unternommen zu haben, um die Kunden der Cloud-Plattform zu schützen.
Die Lücke
Die Entwickler berichten, dass es sich um eine SQL-Lücke handelt. Angreifer sollen sich darüber über einen nicht näher beschriebenen Weg Zugang zu Systemen verschaffen und unter anderem auf Dateien zugreifen können. So sollen sie Interna kopieren. Damit ausgerüstet, könnten Erpressungen von Firmen bevorstehen.
Um herauszufinden, ob Systeme bereits kompromittiert sind, sollten Admins den Pfad c:\MOVEit Transfer\wwwroot\ nach unerwarteten Dateien wie human2.aspx untersuchen. Darüber richten sich die Angreifer eine Webshell für den Fernzugriff ein. Außerdem sollten sie nach verdächtigen Konten Ausschau halten.
In einer Analyse der Attacken führen Sicherheitsforscher von Rapid7 aus, dass sie auf rund 2500 über das Internet erreichbare Instanzen gestoßen sind. Einem Sicherheitsforscher zufolge soll der Großteil der Attacken in den USA stattfinden; davon soll auch die Regierung betroffen sein.
(des)
