[Warning] Kritische Sicherheitslücke in MOVEit Transfer - Updates verfügbar
Michael Schlagenhaufer
schlagenhaufer at cert.at
Thu Jun 1 19:37:35 CEST 2023
01. Juni 2023
Beschreibung
In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine
Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.
CVE-Nummer(n): TBA
CVSS Base Score: TBA
Auswirkungen
Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle
Potential der Lücke ist jedoch noch nicht bekannt.
Betroffene Systeme
Versionen die niedriger sind als:
* < MOVEit Transfer 2023.0.1
* < MOVEit Transfer 2022.0.4
* < MOVEit Transfer 2022.1.5
* < MOVEit Transfer 2021.1.4
* < MOVEit Transfer 2021.0.6
Abhilfe
Einspielen der vom Hersteller zur Verfügung gestellten Patches.
Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr
zur MOVEit Transfer Umgebung zu blockieren.
IOCs für potentielle Webshell:
* Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte
Dateien (inkl. Backups).
* Prüfen Sie ob größere Datentransfers stattgefunden haben.
* Sperren Sie die IP 5[.]252.191.14
* Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit
Transfer\wwwroot\
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
Informationsquelle(n):
MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/
Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
--
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230601/105abe28/attachment.sig>
More information about the Warning
mailing list