Weitere kritische Zero-Day-Lücke in MOVEit Transfer

Progress Software warnt vor einer weiteren Sicherheitslücke in der File-Sharing-Software MOVEit Transfer. Betroffen ist auch die darauf basierende gehostete Lösung MOVEit Cloud. Erneut ist die Software per SQL Injection, also über speziell gestaltete SQL-Abfragen, angreifbar.

Sophos zufolge sind Details zu der Schwachstelle bereits öffentlich bekannt. Da die Offenlegung im Rahmen einer sogenannten Full Disclosure erfolgte, erfuhr der Hersteller Progress Software zeitgleich mit der Allgemeinheit von der Sicherheitslücke. Ein Patch ist nach Unternehmensangaben bereits in Arbeit.

Weboberfläche ist angreifbar

„Heute (15. Juni) wurde von einem Drittanbieter eine neue SQL-Injection-Schwachstelle veröffentlicht. Wir haben den HTTPS-Verkehr für MOVEit Cloud angesichts der neu veröffentlichten Sicherheitslücke heruntergefahren und bitten alle MOVEit Transfer-Kunden, ihren HTTP- und HTTPS-Verkehr sofort herunterzufahren, um ihre Umgebungen zu schützen, während der Patch fertiggestellt wird. Wir testen derzeit den Patch und werden unsere Kunden in Kürze auf den neuesten Stand bringen“, teilte Progress Software mit.

Laut der Sicherheitswarnung des Herstellers ist es ausreichend, den Zugang zum webbasierten Portal von MOVEit abzuschalten, um eine Ausnutzung der Anfälligkeit zu verhindern. Das eigentliche MOVEit-System kann nach Einschätzung von Sophos weiter betrieben werden.

Die Abschaltung des HTTP- und HTTPS-Datenverkehrs zu MOVEit Transfer kann über Firewall-Regeln für die Ports 80 und 443 blockiert werden. Damit ist allerdings nicht nur eine Anmeldung bei der Weboberfläche von MOVEit Transfer unmöglich, auch MOVEit-Automation-Aufgaben, die den nativen Host von MOVEit Transfer nutzen, funktionieren nicht mehr. Das gilt auch für REST-, Java- und .NET-APIs und das Add-in für Outlook. Nicht eingeschränkt werden indes die Protokolle SFTP und FTP/s.