TI – CVE-2024-5806 - Authentication Bypass in Progress MOVEit Transfer (SFTP module)

Beschreibung:

Progress hat am 25.06.2024 eine Schwachstelle für MOVEit Transfer veröffentlicht, welche das Umgehen der Authentifizierung ermöglicht und den Angreifern Zugriff auf die Systeme über SFTP ermöglicht. Die Schwachstelle benötigt folgende Konfiguration um erfolgreich angegriffen werden zu können:

• Angreifer müssen einen Benutzernamen kennen
• Der bekannte Benutzer muss sich remote authentifizieren können
• Die MOVEit Instanz muss das SFTP Service öffentlich erreichbar zur Verfügung stellen

Betroffene Systeme:

ab MOVEit Transfer 2023.0.0

ab MOVEit Transfer 2023.1.0

ab MOVEit Transfer 2024.0.0

Behobene Version:

MOVEit Transfer 2023.0.11

MOVEit Transfer 2023.1.6

MOVEit Transfer 2024.0.2

Empfohlene Maßnahme:

Der Hersteller Progress empfiehlt Kunden ein Emergency Wartungsfenster für die Installation der Patches. Zudem empfiehlt der Hersteller eingehende RDP Verbindungen aus dem Internet auf den MOVEit Transfer Server zu unterbinden. Ausgehende Verbindungen (im speziellen Port 445) von der MOVEit Instanz sollten nur zu vertrauenswürdigen, öffentlichen IP-Adressen erlaubt werden.

Einschätzung der Bedrohung:

Aktuell gibt es einen öffentlich verfügbaren Exploit. Progress berichtete bisher (2024-06-28) von keiner aktiven Ausnutzung der Schwachstelle durch Angreifer. In der Vergangenheit war MOVEit Transfer jedoch schon für Ransomware Gruppen (Cl0p) sehr interessant. Daher empfehlen wir eine rasche Implementierung der Patches oder zumindest die rasche Umsetzung von Netzwerkzugriffseinschränkungen bis der Patch eingespielt werden kann.

Weitere Hinweise:

https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806

https://thehackernews.com/2024/06/new-moveit-transfer-vulnerability-under.html