Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Marke
Nur wenige Tage nachdem Progress Software eine weithin ausgenutzte Zero-Day-Schwachstelle in seiner MOVEit Transfer-App gepatcht hat, hat das Unternehmen einen zweiten Patch herausgegeben, um darin weitere SQL-Injection-Schwachstellen zu beheben, die ein Sicherheitsanbieter diese Woche bei einer Codeüberprüfung aufgedeckt hat.
Die Schwachstellen sind in allen MOVEit Transfer-Versionen vorhanden und könnten es einem nicht authentifizierten Angreifer ermöglichen, auf die MOVEit Transfer-Datenbank zuzugreifen und darin enthaltene Daten zu ändern oder zu stehlen. Den neuen Fehlern wurde noch kein CVE zugewiesen, sie werden aber bald einen erhalten.
„Die Untersuchung ist noch nicht abgeschlossen, aber derzeit haben wir keine Anzeichen dafür gesehen, dass diese neu entdeckten Schwachstellen ausgenutzt wurden“, sagte Progress.
In einer Empfehlung vom 9. Juni forderte Progress Kunden auf, den neuen Patch sofort zu installieren, und verwies auf das Potenzial für Bedrohungsakteure, die Schwachstellen bei weiteren Angriffen auszunutzen. „Diese neu entdeckten Schwachstellen unterscheiden sich von der zuvor am 31. Mai 2023 gemeldeten Schwachstelle“, sagte Progress. „Alle MOVEit Transfer-Kunden müssen den neuen Patch anwenden, der am 9. Juni 2023 veröffentlicht wird.“
Laut Progress entdeckte Huntress die Schwachstellen im Rahmen einer Codeüberprüfung.
Der neue Patch von Progress Software kommt inmitten von Berichten über die Ransomware-Gruppe Cl0p, die in großem Umfang eine separate Zero-Day-Schwachstelle (CVE-2023-34362) in MOVEit Transfer ausnutzt. Die Bedrohungsgruppe entdeckte den Fehler vor etwa zwei Jahren und nutzte ihn aus, um Daten von Tausenden von Organisationen weltweit zu stehlen. Zu den bekannten Opfern zählen die BBC, British Airways und die Regierung von Nova Scotia. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Organisationen vor möglichen weitreichenden Auswirkungen in der Zukunft gewarnt.
Forscher von Huntress entdeckten die Schwachstellen bei ihrer Analyse der MOVEit Transfer-App. Sie hatten zuvor eine detaillierte Analyse darüber vorgelegt, wie Cl0p-Bedrohungsakteure die Schwachstelle in ihrer weltweiten Erpressungskampagne ausgenutzt hatten.
„Huntress hat verschiedene Angriffsvektoren aufgedeckt, nachdem wir den ursprünglichen Exploit als Proof-of-Concept nachgebildet und die Wirksamkeit des ersten Patches bewertet haben“, sagt ein Huntress-Sprecher. „Dies sind deutliche Mängel, die im ersten Patch nicht behoben wurden. Wir haben sie dem Progress-Team verantwortungsbewusst mitgeteilt und damit die Veröffentlichung dieses zweiten Patches gefördert.“
Derzeit habe Huntress keine neuen Ausnutzungen im Zusammenhang mit diesem neuen CVE beobachtet, fügt er hinzu – obwohl sich das schnell ändern könnte.
Laut Progress können Organisationen, die den Patch des Unternehmens bereits ab dem 31. Mai 2023 für den ursprünglichen Zero-Day-Fehler angewendet haben, den Patch sofort für neue Schwachstellen anwenden, wie in den Behebungsempfehlungen beschrieben. Organisationen, die den ersten Fehler noch nicht behoben haben, sollten stattdessen alternative Behebungs- und Patchschritte befolgen, die Progress beschrieben hat.
Progress hat MOVEit Cloud ebenfalls automatisch mit dem neuesten Update gepatcht, aber „wir empfehlen Kunden, ihre Prüfprotokolle auf Anzeichen unerwarteter oder ungewöhnlicher Dateidownloads zu überprüfen und weiterhin Zugriffsprotokolle und Systemprotokolle zusammen mit den Protokollen unserer Systemschutzsoftware zu überprüfen.“ "