Über eine Sicherheitslücke in der Dateiübertragungssoftware MOVEit Transfer können Cyberkriminelle auf Daten zugreifen. Sicherheitsupdates stehen bereits zur Verfügung.
Wenn Unternehmen die Software MOVEit Transfer zum Austausch von Dokumenten nutzen, sollten zuständige Admins zeitnah die verfügbaren Sicherheitspatches installieren.
Jetzt updaten
In einer Sicherheitsmeldung wird die Schwachstelle von Experten als kritisch bewertet. Eine CVE-Nummer wurde jedoch noch nicht vergeben. Aufgrund der möglichen Cyberangriffe raten die Entwickler der Software zu einer zügigen Aktualisierung von MOVEit Transfer. Laut Mitteilung stehen für alle Versionen, die sich im Support befinden bereits aktuelle Sicherheitsupdates zur Verfügung.
- MOVEit Transfer 2023.0.1
- MOVEit Transfer 2022.1.5
- MOVEit Transfer 2022.0.4
- MOVEit Transfer 2021.1.4
- MOVEit Transfer 2021.0.6
Unternehmen die noch Versionen nutzen, welche sich nicht mehr Support befinden, sollten zum Schutz aller Systeme schnellstmöglich den HTTPS/HTTPS-Traffic auf den Ports 80 sowie 443 blockieren.
Laut Experten soll auch die SaaS-Plattform von MOVEit Transfer davon betroffen sein. Ebenfalls sei die Cloud-Version angreifbar. Um die Nutzer der Cloud-Plattform weitestgehend zu schützen, habe der Anbieter der Software versichert, umgehend entsprechende Maßnahmen ergriffen zu haben.
Die Sicherheitslücke
Experten bestätigten, dass es sich um eine SQL-Schwachstelle handelt. Cyberkriminelle können über besagte Sicherheitslücke Zugang zu Systemen erlangen sowie auf Dateien zugreifen. Wie genau Cyberkriminelle vorgehen könnten, wurde nicht näher beschrieben. Erlangte Dateien könnten jedoch von Hackern kopiert werden und dazu genutzt werden Unternehmen zu erpressen.
Um festzustellen ob eigene Systeme bereits kompromittiert wurden, sollten Admins den Pfad c:\MOVEit Transfer\wwwroot\ nach Dateien wie human2.aspx prüfen. Darüber können sich Cyberkriminelle eine Webshell für den Zugriff aus der Ferne einrichten. Des Weiteren sollten Admins nach dubiosen Konten Ausschau halten.
Sicherheitsforscher von Rapid7 analysierten die Cyberattacken und stellten fest, dass sie auf ungefähr 2500 Instanzen gestoßen sind, die über das Internet erreichbar sind. Ein Experte berichtete, dass die meisten Angriffe in den USA stattgefunden haben. Auch die Regierung der USA soll davon betroffen sein.