Update anwenden: MOVEit Transfer schließt weitere Sicherheitslücke
Seit über einer Woche wird eine Sicherheitslücke in MOVEit Transfer von Angreifern missbraucht. Der Hersteller stellt für eine ähnliche Lücke Updates bereit.
(Bild: Pixels Hunter/Shutterstock.com)
In MOVEit Transfer missbrauchen Cyberkriminelle wie die Cybergang Cl0p eine seit rund zwei Wochen bekannte Sicherheitslücke, um Unternehmen zu erpressen. Gegen Freitagabend hat Hersteller Progress ein Update für eine weitere gleichartige Sicherheitslücke veröffentlicht. IT-Verantwortliche sollten umgehend handeln und die Aktualisierungen anwenden.
Progress schreibt in der Sicherheitsmitteilung, dass für die Schwachstelle noch keine CVE-Nummer vergeben wurde, diese aber beantragt sei. Diese wurde inzwischen zugeteilt, die Lücke hat die Nummer CVE-2023-35036 erhalten. Wie bei der bereits aktiv angegriffenen Sicherheitslücke handelt es sich um eine SQL-Injection-Schwachstelle. Sie erlaubt nicht autorisierten Angreifern aus dem Netz, auf die Datenbank der Software zuzugreifen. Damit können sie manipulierte Pakete in MOVEit-Transfer-Endpunkte einschleusen, mit denen sich Datenbank-Inhalte auslesen oder verändern lassen.
MOVEit Transfer: Alle Versionen betroffen
Weiter schreiben die Entwickler, dass alle Verisonen von MOVEit Transfer betroffen seien. Die unterstützten Versionen 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6) und 2023.0.2 (15.0.2) enthalten die Fehler nicht mehr.
Progress stellt für Systeme, die bereits mit den Aktualisierungen für die zuvor gemeldete SQL-Sicherheitslücke versorgt wurden, DLL Drop-ins bereit, die schneller zu installieren seien – Administratoren finden sie in der Sicherheitsmitteilung verlinkt. Für alle anderen IT-Verantwortliche empfiehlt der Hersteller, die zuvor gegebenen Hinweise und Patches anzuwenden. Die bisherige Sicherheitswarnung von Progress haben die Autoren bereits auf den neuen Stand gebracht, sodass die Fixes auch die neue Schwachstelle ausbessern.
IT-Sicherheitsforscher: Lücke offenbar seit 2021 ausgetestet
Die IT-Forensiker von Kroll Ontrack haben einer Sicherheitsmeldung zufolge Hinweise darauf gefunden, dass Cyberkriminelle die seit zwei Wochen allgemein bekannte Schwachstelle CVE-2023-34362 bereits seit dem Jahr 2021 kennen. Die Analytiker haben entdeckt, dass die Mitglieder der Cl0p-Cybergang damit wahrscheinlich seitdem experimentiert haben, wie sie die Lücke missbrauchen können.
Die Software zum Datenaustausch kommt global bei vielen Unternehmen zum Einsatz, so haben etwa die BBC und British Airways Datenabflüsse aufgrund der Schwachstelle beobachtet. Die Cybergang Cl0p hat die Schwachstelle offenbar massenhaft missbraucht und erpresst betroffene Unternehmen nun. MOVEit Transfer wird aber auch "im Gesundheits- und Versicherungswesen, im Finanzdienstsektor und von der Pharmaindustrie zur Erfüllung ihrer Datenintegritäts-, Prüf- und Datenschutzverpflichtungen verwendet". So hatten zahlreiche AOK-Landesverbände vorsorglich ihre Systeme abgeschaltet und überprüft.
Inzwischen hat die Schwachstelle den Eintrag CVE-2023-35036 erhalten. Zudem die Analyse-Ergebnisse von Kroll Ontrack ergänzt, dass die Cl0p-Cybergang offenbar seit 2021 eine der Lücken ausgetestet hat.
(dmk)