MOVEit Transfer: Updates gegen DOS-Lücke

Der Hersteller Progress hat das Service Pack für den Januar 2024 für die MOVEit Transfer-Software veröffentlicht. Sie schließt eine Sicherheitslücke, die die Entwickler als hohes Risiko einstufen.

Angreifer können ein Problem mit einer Eingabeüberprüfung missbrauchen. Nach vorheriger Authentifizierung können sie Parameter in einer HTTPS-Transaktion derart manipulieren, dass die veränderte Transaktion zu Berechnungsfehlern innerhalb von MOVEit Transfer und potenziell auch in Denial-of-Service-Bedingungen führen können (CVE-2024-0396, CVSS 7.1, Risiko "hoch").

MOVEit Transfer: Verwundbare Versionen

Die Fehler betreffen MOVEit Transfer-Versionen vor 2022.0.10 (14.0.10), 2022.1.11 (14.1.11), 2023.0.8 (15.0.8) sowie 2023.1.3 (15.1.3). MOVEit Transfer mit diesen oder neueren Versionsständen enthält die Sicherheitslücke nicht mehr. Wer noch die Version 2021.1.x (13.1.x) oder vorherige einsetzt, muss auf eine noch aktiv unterstützte Fassung migrieren, erläutert Progress in der Ankündigung des MOVEit Transfer-Service Packs für Januar 2024.

Progress empfiehlt nachdrücklich, das Service Pack zur Aktualisierung der Software und Verbesserung der Sicherheit zu installieren. Es steht im Progress Download-Center zum Herunterladen bereit. Nach Angabe der eigenen Zugangsdaten zu den Progress-Diensten sollen die Aktualisierungen unter der "My Active"-Tab-Liste aufgeführt sein.

Durch die Einbrüche in MOVEit-Transfer-Schwachstellen vorrangig durch die kriminelle Band Cl0p im vergangenen Jahr sind viele Daten in unbefugte Hände geraten. Im November wurde bekannt, dass daraus auch 630.000 E-Mail-Adressen des US-amerikanischen Justizministeriums und aus verschiedenen Bereichen des US-Verteidigungsministeriums veröffentlicht wurden. Bis zum November wurden bereits rund 70 Millionen Betroffenen entdeckt, deren teils vertrauliche Informationen von Cyberkriminellen nach dem Einbruch und dem Kopieren von Daten durch die MOVEit-Transfer-Sicherheitslücken veröffentlicht wurden.

(dmk)