[English]Administratoren, die für die Betreuung der Managed File Transfer (MFT)-Lösung MOVEit von Progress Software zuständig sind, müssen erneut reagieren. Nach der Ende Mai 2023 publik gewordenen SQL-Injection-Schwachstelle CVE-2023-34362, die durch eine Ransomware-Gruppe ausgenutzt wurde, kommt das nächste Problem. Bei Audits wurde eine neue Schwachstelle entdeckt, die zeitnah gepatcht werden muss.
Was ist MOVEit?
MOVEit ist eine Managed File Transfer (MFT)-Software, die eine Übertragung von Dateien zwischen verschiedenen Rechnern ermöglicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist häufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Geschäftspartnern per Internet auszutauschen. Dabei werden Uploads über die Protokolle SFTP, SCP und HTTP unterstützt, um die Dateien sicher zu übertragen.
Was ist das Problem?
Der Einsatz der Software MOVEit Transfer in Firmenumgebungen, zwecks Austausch von Daten, muss inzwischen als „grob fahrlässig“ angesehen werden. Sicherheitsexperte Martin Tschirsich weist in diesem Tweet darauf hin, dass die Software in den letzten Jahren eigentlich permanent durch SQL-Injection-Schwachstellen aufgefallen ist und per se als unsicher zu betrachten sei.
Ende Mai 2023 wurde die MOVEit-Schwachstelle CVE-2023-34362 bekannt (siehe Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle), wobei sich herausstellte, dass diese Sicherheitslücke gezielt durch die Lace Tempest/Clop-Ransomware-Gang (mutmaßlich bereits seit 2021) ausgenutzt wurde (siehe Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362).
Im Beitrag MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen? habe ich darauf hingewiesen, dass über hundert deutsche Unternehmen/Institutionen durch Datenabflüsse in der MOVEit-Umgebung betroffen sein dürften. Diverse AOKs und die Mainzer Verlagsgruppe VRM sind wohl betroffen.
Neue Schwachstelle entdeckt
Sicherheitsforscher John Hammond weist in nachfolgendem Tweet darauf hin, dass (im Rahmen eines Sicherheitsaudits) eine neue Schwachstelle in der Software MOVEit Transfer entdeckt wurde, für die es noch keine CVE gäbe.
Der Hersteller hat zum 9. Juni 2023 eine Verlautbarung mit dem Titel MOVEit Transfer and MOVEit Cloud Vulnerability veröffentlicht und schreibt:
Zusätzlich zur laufenden Untersuchung der Sicherheitslücke (CVE-2023-34362) haben wir uns mit externen Cybersecurity-Experten zusammengetan, um weitere detaillierte Codeüberprüfungen durchzuführen, um unsere Kunden zusätzlich zu schützen. Im Rahmen dieser Codeüberprüfungen hat uns das Cybersicherheitsunternehmen Huntress dabei geholfen, zusätzliche Schwachstellen aufzudecken, die von einem böswilligen Akteur ausgenutzt werden könnten, um einen Angriff zu starten. Diese neu entdeckten Schwachstellen unterscheiden sich von der zuvor gemeldeten Schwachstelle, die am 31. Mai 2023 veröffentlicht wurde.
Alle MOVEit Transfer-Kunden müssen den neuen Patch, der am 9. Juni 2023 veröffentlicht wurde, installieren. Einzelheiten zu den erforderlichen Schritten finden sich im Knowledge Base-Artikel MOVEit Transfer Wissensdatenbank-Artikel (9. Juni 2023). MOVEIt Cloud-Kunden finden weitere Informationen im MOVEit Cloud Knowledge Base Articel https://community.progress.com/s/article/Status-June-2023-security-vulnerabilities-in-MOVEit-Cloud. Die Untersuchung läuft noch, aber derzeit gibt es keine Hinweise darauf, dass diese neu entdeckten Schwachstellen ausgenutzt wurden. Die Kollegen von Bleeping Computer haben hier noch eine Liste der gepatchten Versionen veröffentlicht.
Ähnliche Artikel:
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
