Categories: Sicherheit

Weitere kritische Zero-Day-Lücke in MOVEit Transfer

Progress Software warnt vor einer weiteren Sicherheitslücke in der File-Sharing-Software MOVEit Transfer. Betroffen ist auch die darauf basierende gehostete Lösung MOVEit Cloud. Erneut ist die Software per SQL Injection, also über speziell gestaltete SQL-Abfragen, angreifbar.

Sophos zufolge sind Details zu der Schwachstelle bereits öffentlich bekannt. Da die Offenlegung im Rahmen einer sogenannten Full Disclosure erfolgte, erfuhr der Hersteller Progress Software zeitgleich mit der Allgemeinheit von der Sicherheitslücke. Ein Patch ist nach Unternehmensangaben bereits in Arbeit.

Weboberfläche ist angreifbar

„Heute (15. Juni) wurde von einem Drittanbieter eine neue SQL-Injection-Schwachstelle veröffentlicht. Wir haben den HTTPS-Verkehr für MOVEit Cloud angesichts der neu veröffentlichten Sicherheitslücke heruntergefahren und bitten alle MOVEit Transfer-Kunden, ihren HTTP- und HTTPS-Verkehr sofort herunterzufahren, um ihre Umgebungen zu schützen, während der Patch fertiggestellt wird. Wir testen derzeit den Patch und werden unsere Kunden in Kürze auf den neuesten Stand bringen“, teilte Progress Software mit.

Laut der Sicherheitswarnung des Herstellers ist es ausreichend, den Zugang zum webbasierten Portal von MOVEit abzuschalten, um eine Ausnutzung der Anfälligkeit zu verhindern. Das eigentliche MOVEit-System kann nach Einschätzung von Sophos weiter betrieben werden.

Die Abschaltung des HTTP- und HTTPS-Datenverkehrs zu MOVEit Transfer kann über Firewall-Regeln für die Ports 80 und 443 blockiert werden. Damit ist allerdings nicht nur eine Anmeldung bei der Weboberfläche von MOVEit Transfer unmöglich, auch MOVEit-Automation-Aufgaben, die den nativen Host von MOVEit Transfer nutzen, funktionieren nicht mehr. Das gilt auch für REST-, Java- und .NET-APIs und das Add-in für Outlook. Nicht eingeschränkt werden indes die Protokolle SFTP und FTP/s.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago