Sicherheitslücke in MOVEit Transfer-Software entdeckt: Progress veröffentlicht Service Pack zur Behebung
Sicherheitslücke in MOVEit Transfer-Software entdeckt: Progress veröffentlicht Service Pack zur Behebung
Der Softwarehersteller Progress hat im Januar 2024 ein Service Pack für seine MOVEit Transfer-Software veröffentlicht, um eine kritische Sicherheitslücke zu schließen. Die Lücke ermöglicht es Angreifern, ein Problem in der Eingabeüberprüfung auszunutzen. Nach erfolgreicher Authentifizierung können die Angreifer Parameter in einer HTTPS-Transaktion manipulieren, was zu Berechnungsfehlern und potenziellen Denial-of-Service-Bedingungen führen kann (CVE-2024-0396, CVSS 7.1, hohes Risiko).
Betroffen sind ausschließlich MOVEit Transfer-Versionen vor 2022.0.10 (14.0.10), 2022.1.11 (14.1.11), 2023.0.8 (15.0.8) und 2023.1.3 (15.1.3). In den neueren Versionen der Software wurde die Sicherheitslücke bereits behoben. Nutzer, die noch ältere Versionen verwenden, sollten dringend auf eine unterstützte Version migrieren. Weitere Informationen dazu sind in der Ankündigung des Service Packs auf der Website von Progress verfügbar.
Um die Sicherheit zu verbessern, wird allen Nutzern empfohlen, das Service Pack von Progress zu installieren und ihre Software zu aktualisieren. Das Service Pack steht im Download-Center des Unternehmens zur Verfügung. Nach der Anmeldung bei den Progress-Diensten werden die Aktualisierungen unter der Registerkarte “My Active” angezeigt.
Es sei darauf hingewiesen, dass es im letzten Jahr aufgrund von Sicherheitslücken in MOVEit Transfer zu mehreren Datenlecks gekommen ist. Insbesondere die kriminelle Gruppe Cl0p hat diese Lücken ausgenutzt. Im November wurden beispielsweise 630.000 E-Mail-Adressen aus dem US-amerikanischen Justizministerium und verschiedenen Bereichen des US-Verteidigungsministeriums öffentlich gemacht. Bis zu diesem Zeitpunkt wurden bereits etwa 70 Millionen betroffene Personen identifiziert, deren teilweise vertrauliche Informationen von Cyberkriminellen veröffentlicht wurden. Diese Vorfälle waren auf die Sicherheitslücken in der MOVEit Transfer-Software zurückzuführen, die es den Angreifern ermöglichten, in das System einzudringen und Daten zu kopieren.
Schlagwörter: Progress + Januar + CVSS
Wie bewerten Sie den Schreibstil des Artikels?