
Eine Zero-Day-Schwachstelle, die MOVEit Transfer betrifft, wird Berichten zufolge von Hackern weltweit aktiv ausgenutzt.
MOVEit Transfer ist ein beliebtes Dateiübertragungsprogramm, das von Ipswitch, einer Tochtergesellschaft der Progress Software Corporation mit Sitz in den USA, entwickelt wurde und von vielen Unternehmen für den sicheren Austausch sensibler Daten über Netzwerke verwendet wird. Berichten zufolge wird jedoch eine kürzlich entdeckte Zero-Day-Schwachstelle ausgenutzt, und mehrere Tausend MOVEit Transfer-Server sind bereits Opfer eines massiven Datendiebstahls geworden.
Wie aus dem Advisory des Anbieters hervorgeht, betrifft diese SQL-Injection-Schwachstelle MOVEit Transfer vor 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1) und könnte möglicherweise ausgenutzt werden, um Zugriff auf vertrauliche Daten während der Übertragung zu erlangen, was zu einer Ausweitung der Privilegien und einem unbefugten Zugriff auf die Umgebung sowie zur Ausführung von Remote-Code führen könnte.
Abhilfemaßnahmen
Um das Risiko zu minimieren, wird Unternehmen, die MOVEit Transfer verwenden, empfohlen, die vom Hersteller bereitgestellten Abhilfemaßnahmen zu befolgen und ein Upgrade auf die neueste Softwareversion durchzuführen.
Zu den Abhilfemaßnahmen gehört es, den HTTP- und HTTPs-Verkehr zu MOVEit Transfer an den Ports 80 und 443 zu unterbinden. Der Nachteil dieser Maßnahme besteht darin, dass die Web-UI von Transfer für die Benutzer und die MOVEit Automation-Aufgaben nicht zugänglich ist und dass die REST-, Java- und .NET-APIs sowie das MOVEit Transfer-Add-In für Outlook nicht funktionieren. Der Zugriff auf MOVEit Transfer ist jedoch über einen Remote-Desktop möglich, und die Protokolle SFTP und FTP/s funktionieren weiterhin wie gewohnt.
Als weitere Abhilfemaßnahmen empfiehlt Progress, alle Instanzen der Skriptdateien human2.aspx und .cmdline zu löschen, alle in den Verzeichnissen C:\MOVEitTransfer\wwwroot\ und C:\Windows\TEMP\[random]\ erstellten Dateien zu überprüfen, insbesondere diejenigen mit der Dateierweiterung [.]cmdline, alle nicht autorisierten Benutzerkonten zu entfernen, die Protokolle auf große Downloads von unbekannten IPs zu überprüfen und die Anmeldeinformationen für die betroffenen Systeme und das MOVEit-Servicekonto zurückzusetzen.
Erwägung alternativer Dateiübertragungsmechanismen
Obwohl die Patches für alle unterstützten MOVEit Transfer-Versionen verfügbar sind, wird den MOVEit Transfer-Benutzern empfohlen, vor dem Upgrade und der Wiederaufnahme der Verwendung der Anwendung zusätzlich zu den empfohlenen Abhilfemaßnahmen alternative sichere Dateiübertragungsmechanismen in Betracht zu ziehen und eine Untersuchung durchzuführen, um festzustellen, ob ein Vermögenswert gefährdet wurde.
Bedrohungsakteure und mögliche Beweggründe
Die Bedrohungsakteure und ihre Motive sind den Forschern noch unklar, jedoch könnte diese Zero-Day-Schwachstelle für massenhafte Datendiebstahlsangriffe genutzt werden. Bei diesen Angriffen greifen Cyberkriminelle gezielt Server an und missbrauchen die Schwachstelle, um vertrauliche Informationen zu stehlen, während sie sich im Umlauf befinden. Die gestohlenen Daten können dann für verschiedene böswillige Zwecke verwendet werden, z. B. für Erpressung, Identitätsdiebstahl oder die weitere Gefährdung der betroffenen Organisationen.
Holm Security Vulnerability Management Platform – Anweisungen zur Erkennung
Der Schwachstellentest HID-2-1-5343624 für die MOVEit-Zero-Day-Schwachstelle wurde in die Standard-Scankonfiguration aufgenommen, und es ist keine spezielle Konfiguration erforderlich. Dies gilt für alle Scanner-Appliances und externen Knoten.
Sie müssen authentifizierte Scans im Security Center durchführen, um auf diese Sicherheitslücke scannen zu können.
Wir werden Sie auf dem Laufenden halten, sobald weitere Informationen verfügbar sind.
by Mihail Lupan, Head of Security Research at Holm Security
Fachartikel

Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Forscher entdecken universellen Trick zur Umgehung von Sicherheitsvorgaben bei KI-Chatbots

Phishing-Angriffe über OAuth: Russische Hacker zielen auf Microsoft 365 ab

Ransomware-Banden setzen auf professionelle Geschäftsmodelle

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

Internet unter Beschuss: Über 1.000 bösartige Domains pro Tag

Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
