[Warning] Kritische Sicherheitslücke in MOVEit Transfer - Updates verfügbar

Michael Schlagenhaufer schlagenhaufer at cert.at
Thu Jun 1 19:37:35 CEST 2023 

01. Juni 2023


Beschreibung

    In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine
    Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.

    CVE-Nummer(n): TBA

    CVSS Base Score: TBA


Auswirkungen

    Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle
    Potential der Lücke ist jedoch noch nicht bekannt.


Betroffene Systeme

    Versionen die niedriger sind als:
      * < MOVEit Transfer 2023.0.1
      * < MOVEit Transfer 2022.0.4
      * < MOVEit Transfer 2022.1.5
      * < MOVEit Transfer 2021.1.4
      * < MOVEit Transfer 2021.0.6


Abhilfe

    Einspielen der vom Hersteller zur Verfügung gestellten Patches.

    Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr
    zur MOVEit Transfer Umgebung zu blockieren.

    IOCs für potentielle Webshell:
      * Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte
        Dateien (inkl. Backups).
      * Prüfen Sie ob größere Datentransfers stattgefunden haben.
      * Sperren Sie die IP 5[.]252.191.14
      * Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit
        Transfer\wwwroot\


Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
      __________________________________________________________________


Informationsquelle(n):

    MOVEit Transfer Advisory (englisch):
    https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

    Artikel auf Reddit (englisch):
    https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/

    Artikel bei Rapid7 (englisch):
    https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/


-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230601/105abe28/attachment.sig>

More information about the Warning mailing list