Progress Software warnt vor einer weiteren Sicherheitslücke in der File-Sharing-Software MOVEit Transfer. Betroffen ist auch die darauf basierende gehostete Lösung MOVEit Cloud. Erneut ist die Software per SQL Injection, also über speziell gestaltete SQL-Abfragen, angreifbar.
Sophos zufolge sind Details zu der Schwachstelle bereits öffentlich bekannt. Da die Offenlegung im Rahmen einer sogenannten Full Disclosure erfolgte, erfuhr der Hersteller Progress Software zeitgleich mit der Allgemeinheit von der Sicherheitslücke. Ein Patch ist nach Unternehmensangaben bereits in Arbeit.
„Heute (15. Juni) wurde von einem Drittanbieter eine neue SQL-Injection-Schwachstelle veröffentlicht. Wir haben den HTTPS-Verkehr für MOVEit Cloud angesichts der neu veröffentlichten Sicherheitslücke heruntergefahren und bitten alle MOVEit Transfer-Kunden, ihren HTTP- und HTTPS-Verkehr sofort herunterzufahren, um ihre Umgebungen zu schützen, während der Patch fertiggestellt wird. Wir testen derzeit den Patch und werden unsere Kunden in Kürze auf den neuesten Stand bringen“, teilte Progress Software mit.
Laut der Sicherheitswarnung des Herstellers ist es ausreichend, den Zugang zum webbasierten Portal von MOVEit abzuschalten, um eine Ausnutzung der Anfälligkeit zu verhindern. Das eigentliche MOVEit-System kann nach Einschätzung von Sophos weiter betrieben werden.
Die Abschaltung des HTTP- und HTTPS-Datenverkehrs zu MOVEit Transfer kann über Firewall-Regeln für die Ports 80 und 443 blockiert werden. Damit ist allerdings nicht nur eine Anmeldung bei der Weboberfläche von MOVEit Transfer unmöglich, auch MOVEit-Automation-Aufgaben, die den nativen Host von MOVEit Transfer nutzen, funktionieren nicht mehr. Das gilt auch für REST-, Java- und .NET-APIs und das Add-in für Outlook. Nicht eingeschränkt werden indes die Protokolle SFTP und FTP/s.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…