Progress schließt weitere kritische Sicherheitslücke in MOVEit Transfer

Progress hat ein Service Pack für MOVEit Transfer veröffentlicht, das drei Sicherheitslecks abdichtet. Eines davon stufen die Entwickler als kritisch ein. Die Cybergang Cl0p hatte kritische Lücken in MOVEit Transfer in jüngerer Vergangenheit missbraucht, daher sollten IT-Verantwortliche die bereitstehenden Aktualisierungen zügig anwenden.

Von den drei Lücken, die das Update schließt. betrachten die Entwickler eine als kritisch und zwei als hochriskant. Eine SQL-Injection-Lücke ermöglicht nicht authentifizierten Angreifern den Zugriff auf die MOVEit Transfer Datenbank. Mit sorgsam präparierten Paketen an den MOVEit-Endpunkten können sie die Datenbank verändern und unbefugt Informationen auslesen (CVE-2023-36934, noch kein CVSS-Wert, Risiko laut Progress "kritisch").

MOVEit Transfer: Eine kritische, zwei hochriskante Schwachstellen

Eine ähnliche Lücke ermöglicht authentifizierten Angreifern dieselben Möglichkeiten (CVE-2023-36932, kein CVSS-Wert, Risiko "hoch"). Zudem können Angreifer einen Denial-of-Service provozieren – eine nicht behandelte Ausnahme kann die MOVEit Transfer-App unerwartet beenden (CVE-2023-36933, kein CVSS-Wert, hoch).

Laut der Sicherheitsmeldung von Progress stehen die aktualisierten Software-Versionen MOVEit Transfer 2020.1.7, 2021.0.9, 2021.1.7, 2022.0.7, 2022.1.8 sowie 2023.0.4 bereit, die die Sicherheitslecks abdichten. Wer noch die Fassung 2020.0.x oder älter einsetzt, muss zur Absicherung auf noch unterstützte Versionen aktualisieren.

Kurz nach dem Bekanntwerden des Missbrauchs einer MOVEit Transfer-Sicherheitslücke durch die Cybergang Cl0p hatte Progress bereits drei Aktualisierungen veröffentlicht, um kritische Lücken in der Software auszubessern. Unter den Opfern der Cyberkriminellen finden sich große und namhafte Unternehmen wie Ernst&Young, PricewaterhouseCoopers, Schneider Electric oder Siemens Energy.

(dmk)