MOVEit Transfer: Schwachstellen ermöglichen Angreifern Datenschmuggel
Neue MOVEit Transfer-Versionen schlieĂźen teils hochriskante SicherheitslĂĽcken. IT-Verantwortliche sollten sie zĂĽgig installieren.
(Bild: Shutterstock/chanpipat)
Hersteller Progress schlieĂźt mit einem Service-Pack im September drei SicherheitslĂĽcken in der Datenaustausch-Software MOVEit Transfer. Zwei davon gelten als hochriskant. Da MOVEit Transfer in der Vergangenheit schon im Visier von Cyberkriminellen stand, sollten IT-Verantwortliche die Aktualisierungen zĂĽgig anwenden.
Authentifizierte Angreifer können eine SQL-Injection-Schwachstelle in der Maschinenschnittstelle missbrauchen, um unbefugten Zugriff auf die MOVEit-Transfer-Datenbank zu erlangen und Daten zu lesen oder zu verändern (CVE-2023-42660, CVSS 8.8, Risiko "hoch"). Eine ähnliche Lücke findet sich zudem im Web-Interface der Software. Ein System-Administrator könnte eine SQL-Injection-Lücke nutzen, um mit manipulierten Anfragen Inhalte aus der Datenbank offenzulegen oder zu verändern (CVE-2023-40043, CVSS 7.2, hoch).
MOVEit Transfer: Drei SicherheitslĂĽcken geschlossen
Eine dritte Sicherheitslücke beschreibt die Service-Pack-Ankündigung von Progress als Cross-Site-Scripting-Schwachstelle. Während einer sogenannten Package-Composition-Prozedur könnten Nutzern manipulierte Inhalte im Web-Interface untergeschoben werden, was zur Ausführung etwa von bösartigem Javascript im Nutzerkontext führen kann (CVE-2023-42656, CVSS 6.1, mittel).
Videos by heise
Die sicherheitsrelevanten Fehler schließen die aktualisierten Versionen MOVEit Transfer 2021.1.8 (13.1.8), 2022.0.8 (14.0.8), 2022.1.9 (14.1.9) und 2023.0.6 (15.0.6). Wer ältere Fassungen bis einschließlich MOVEit Transfer 2021.0.x (13.0.x) einsetzt, soll auf eine noch unterstützte Version migrieren. In der Ankündigung verlinken die Progress-Entwickler Anleitungen und Downloads zu den aktualisierten Paketen.
Die Cybergang Cl0p hatte vor einigen Monaten eine SicherheitslĂĽcke in MOVEit Transfer missbraucht, um sensible Daten von zahlreichen Unternehmen zu kopieren. Seitdem erpresst die kriminelle Vereinigung die Opfer. Darunter finden sich zahlreiche namhafte, etwa Ernst&Young, PricewaterhouseCoopers, Schneider Electric oder Siemens Energy.
(dmk)
