Jetzt patchen! Progress-MOVEit-Sicherheitslücken werden bereits angegriffen
Progress hat zwei kritische Lücken in MOVEit Gateway und Transfer gestopft. Eine davon attackieren Cyberkriminelle bereits.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Progress hat zwei Sicherheitswarnungen veröffentlicht, die kritische Schwachstellen in MOVEit Gateway und MOVEit Transfer behandeln. Eine davon wird bereits in freier Wildbahn angegriffen. IT-Verantwortliche mit Progress MOVEit-Instanzen sollten so schnell wie möglich prüfen, ob bereits die aktuelle Version läuft, oder gegebenenfalls umgehend die Updates und empfohlenen Gegenmaßnahmen umsetzen.
Die erste Lücke betrifft MOVEit Gateway 2024.0.0 und erlaubt Angreifern, die Authentifizierung zu umgehen. Ursächlich ist ein nicht näher erläuterter Fehler in dem mitgelieferten SFTP-Modul (CVE-2024-5805, CVSS 9.1, Risiko "kritisch"). Abhilfe dafür schafft lediglich, Version 2024.0.1 mit dem "Full-Installer" überzuinstallieren, wodurch es während der Aktualisierung zu einer Unterbrechung des Dienstes kommt, erklärt Progress.
Kritische Lücke bereits unter Beschuss
In MOVEit Transfer findet sich eine gleichlautende Lücke im mitgebrachten SFTP-Modul, die bösartigen Akteuren die Umgehung der Authentifizierung ermöglicht. Hinweise, wie Angriffe aussehen könnten, nennt auch die zweite Sicherheitsmeldung von Progress jedoch nicht (CVE-2024-5806, CVSS 9.1, kritisch).
Die Lücke haben sich IT-Forscher der watchtowr-Labs jedoch genauer angesehen und schließlich einen Proof-of-Conecpt-Exploit auf Basis der gewonnenen Erkenntnisse entwickelt. Sie beschreiben das detailliert in einem Artikel auf der watchtowr-Webseite. Dort liefern sie auch potenzielle Hinweise auf Angriffe, die Admins bei der Untersuchung ihrer Instanzen als Ausgangsbasis nutzen können.
Shadowserver hat seit dem Dienstagabend erste Angriffe mit POST-Requests auf die MOVEit-Datei /guestaccess.aspx beobachtet, teilt das IT-Forscherkollektiv auf X (ehemals Twitter) mit. Wer MOVEit am Laufen und die Updates noch nicht installiert habe, solle das bitte jetzt nachholen, schließen sie ihre Nachricht.
Laut der Shadowserver-Analysen stehen rund 1800 Progress-MOVEit-Systeme offen zugreifbar im Netz. Der Großteil, knapp 1300 Systeme, stehen in den USA. Aber auch mehr als 350 Systeme in Europa, das damit an zweiter Stelle steht. Qualitative Aussagen darüber, ob die Systeme bereits gepatcht sind oder verwundbar, macht die Shadowserver-Zählung jedoch nicht.
Progress MOVEit-Software ist beliebt bei Cyberkriminellen. Sie können in der Regel durch Sicherheitslücken darin sensible Daten abgreifen und im Anschluss ihre Opfer um Lösegeld erpressen. Dies hat vor ziemlich genau einem Jahr die Cybergang Cl0p mit zig namhaften Unternehmen vorgeführt. Aufgrund dieser Erfahrungen sollten IT-Verantwortliche keine Zeit vertrödeln, sondern umgehend ihre Systeme auf den aktuellen Stand bringen.
(dmk)