MOVEit Transfer: Schwachstellen ermöglichen Angreifern Datenschmuggel
Neue MOVEit Transfer-Versionen schließen teils hochriskante Sicherheitslücken. IT-Verantwortliche sollten sie zügig installieren.
(Bild: Shutterstock/chanpipat)
Hersteller Progress schließt mit einem Service-Pack im September drei Sicherheitslücken in der Datenaustausch-Software MOVEit Transfer. Zwei davon gelten als hochriskant. Da MOVEit Transfer in der Vergangenheit schon im Visier von Cyberkriminellen stand, sollten IT-Verantwortliche die Aktualisierungen zügig anwenden.
Authentifizierte Angreifer können eine SQL-Injection-Schwachstelle in der Maschinenschnittstelle missbrauchen, um unbefugten Zugriff auf die MOVEit-Transfer-Datenbank zu erlangen und Daten zu lesen oder zu verändern (CVE-2023-42660, CVSS 8.8, Risiko "hoch"). Eine ähnliche Lücke findet sich zudem im Web-Interface der Software. Ein System-Administrator könnte eine SQL-Injection-Lücke nutzen, um mit manipulierten Anfragen Inhalte aus der Datenbank offenzulegen oder zu verändern (CVE-2023-40043, CVSS 7.2, hoch).
MOVEit Transfer: Drei Sicherheitslücken geschlossen
Eine dritte Sicherheitslücke beschreibt die Service-Pack-Ankündigung von Progress als Cross-Site-Scripting-Schwachstelle. Während einer sogenannten Package-Composition-Prozedur könnten Nutzern manipulierte Inhalte im Web-Interface untergeschoben werden, was zur Ausführung etwa von bösartigem Javascript im Nutzerkontext führen kann (CVE-2023-42656, CVSS 6.1, mittel).
Die sicherheitsrelevanten Fehler schließen die aktualisierten Versionen MOVEit Transfer 2021.1.8 (13.1.8), 2022.0.8 (14.0.8), 2022.1.9 (14.1.9) und 2023.0.6 (15.0.6). Wer ältere Fassungen bis einschließlich MOVEit Transfer 2021.0.x (13.0.x) einsetzt, soll auf eine noch unterstützte Version migrieren. In der Ankündigung verlinken die Progress-Entwickler Anleitungen und Downloads zu den aktualisierten Paketen.
Die Cybergang Cl0p hatte vor einigen Monaten eine Sicherheitslücke in MOVEit Transfer missbraucht, um sensible Daten von zahlreichen Unternehmen zu kopieren. Seitdem erpresst die kriminelle Vereinigung die Opfer. Darunter finden sich zahlreiche namhafte, etwa Ernst&Young, PricewaterhouseCoopers, Schneider Electric oder Siemens Energy.
(dmk)
