Update #3 - Kritische Sicherheitslücke in MOVEit Transfer - weitere Updates verfügbar

01. Juni 2023

Update #1: 2. Juni 2023, 11:20
Update #2: 2. Juni 2023, 14:35
Update #3: 10. Juni 2023, 13:20

Beschreibung

In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.

CVE-Nummer(n): TBA

CVSS Base Score: TBA

Auswirkungen

Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.

Betroffene Systeme

Versionen die niedriger sind als:

  • < MOVEit Transfer 2023.0.1
  • < MOVEit Transfer 2022.0.4
  • < MOVEit Transfer 2022.1.5
  • < MOVEit Transfer 2021.1.4
  • < MOVEit Transfer 2021.0.6

Update #3: 10.Juni 2023, 13:20

  • < MOVEit Transfer 2023.0.2
  • < MOVEit Transfer 2022.0.5
  • < MOVEit Transfer 2022.1.6
  • < MOVEit Transfer 2021.1.5
  • < MOVEit Transfer 2021.0.7

Abhilfe

Einspielen der vom Hersteller zur Verfügung gestellten Patches.

Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.

IOCs für potentielle Webshell:

    • Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).
    • Prüfen Sie ob größere Datentransfers stattgefunden haben.
    • Sperren Sie die IP 5[.]252.191.14
    • Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\
Update #1: 2. Juni 2023, 11:20
Es wurden weitere IOCs veröffentlicht:
  • 89.39.105[.]108 (WorldStream)
  • 5.252.190[.]0/24
  • 5.252.189-195[.]x
  • 148.113.152[.]144 (reported by the community)
  • 138.197.152[.]201
  • 209.97.137[.]33
Update #2: 2.Juni 2023, 14:35
Es wurden weitere IOCs veröffentlicht:
  • 198.27.75.110
  • 209.222.103.170
  • 84.234.96.104
  • human2.aspx.lnk
  • C:\Windows\TEMP\[random]\[random].cmdline
  • POST /moveitisapi/moveitisapi.dll
  • POST /guestaccess.aspx
  • POST /api/v1/folders/[random]/files
  • Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)
  • SHA256 Hashes der Human2.aspx Datei:
    • 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
      110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
      1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
      2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
      58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
      98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
      a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
      b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
      cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
      ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c
      0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
      110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
      1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
      2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
      58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
      98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
      a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
      b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
      cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
      ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c

Update #3: 10.Juni 2023, 13:20

Progress hat ein weiteres Security Update veröffentlicht, das erneut kritische Sicherheitslücken schließt.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/

Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

Update #1: Artikel bei Huntress (englisch):
https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response

Update #3: MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023