Barracuda full logo

Cybersecurity Threat Advisory: Kritische MOVEit-Schwachstelle entdeckt

Themen:
11. Juli. 2023
|
Anika Jishan

Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

In der MOVEit Transfer-Software wurde eine kritische Schwachstelle entdeckt, die sofortiges Handeln der Kunden erfordert, um ihre System zu patchen. Dieser Fehler, als CVE-2023-36934 identifiziert, ermöglicht es einem Angreifer, beliebige Befehle auf dem betroffenen System mit zusätzlichen Berechtigungen ohne Benutzerauthentifizierung auszuführen. Wenn diese Schwachstelle nicht behoben wird, kann sie zu unbefugtem Zugriff, Datenverletzungen und potenziellen Störungen von kritischen Geschäftsabläufen führen. Barracuda MSP empfiehlt MOVEit Transfer-Benutzern, sofort den neuesten Patch des Anbieter zu installieren, um das Risiko zu mindern.

Welcher Art ist die Bedrohung?

MCVE-2023-36934 ermöglicht es nicht authentifizierten Remote-Angreifern, willkürliche Befehle auf anfälligen MOVEit Transfer-Systemen auszuführen. Durch die Ausnutzung dieser Schwäche können sich Angreifer unbefugten Zugriff verschaffen und möglicherweise sensible Daten kompromittieren oder böswillige Aktivitäten mit zusätzlichen Berechtigungen durchführen. Die erfolgreiche Ausnutzung dieser Schwachstelle erfordert keine Benutzerinteraktion oder Authentifizierung, was sie besonders gefährlich macht.

Es gibt zwei weitere hochgradig gefährliche Schwachstellen: CVE-2023-36932 und CVE-2023-36933. CVE-2023-36932 ist ein SQL-Injection-Fehler, der von angemeldeten Angreifern ausgenutzt werden kann, um sich unbefugten Zugriff auf die MOVEit Transfer-Datenbank zu verschaffen. CVE-2023-36933 hingegen ist eine Schwachstelle mit der Angreifer das MOVEit Transfer-Programm unerwartet abschalten können.

Diese Schwachstellen betreffen mehrere MOVEit Transfer-Versionen, einschließlich 12.1.10 und frühere Versionen, 13.0.8 und früher, 13.1.6 und früher, 14.0.6 und älter, 14.1.7 und älter und 15.0.3 und früher.

Warum sollte man aufmerksam sein?

Diese in MOVEit Transfer gefundene Schwachstelle ist erheblich, aufgrund der Exposition und des Risikos, das sie darstellt. Angreifer können die Schwäche ausnutzen, um sich unbefugten Zugriff auf die Software zu verschaffen, möglicherweise sensible Daten zu kompromittieren und willkürliche Befehle mit zusätzlichen Berechtigungen auszuführen. Das Potenzial für eine weitere Kompromittierung ist besorgniserregend, da Angreifer sich lateral innerhalb des Netzwerks bewegen, Berechtigungen weiterleiten und möglicherweise in weitere Systeme eindringen können. Für Branchen, die auf sichere Dateiübertragungen angewiesen sind, ebenso wie Organisationen, die mit sensiblen Daten umgehen, sind schwerwiegende Konsequenzen zu befürchten. Sofortiges Handeln ist entscheidend, um den potenziellen Schaden zu begrenzen, kritische Abläufe zu schützen und die nachfolgenden Kettenreaktionen weiterer Kompromittierung zu verhindern.

Wie hoch ist Risiko einer Exposition?

Diese Schwachstelle kann zu weiteren Kompromittierungen führen. Sobald sich ein Angreifer über die MOVEit Transfer-Software unbefugten Zugriff auf das betroffene System verschafft hat, kann er das kompromittierte System weiter ausnutzen, um sich lateral im Netzwerk zu bewegen, Berechtigungen weiterzuleiten und möglicherweise weitere Systeme oder Ressourcen zu kompromittieren. Dies könnte zu einem Verstoß größeren Ausmaßes, der Exfiltration von sensiblen Daten oder zur Unterbrechung von miteinander verbundenen Systeme innerhalb der Organisation führen.

Da diese Schwachstelle keine Benutzerinteraktion oder Authentifizierung erfordert, stellt sie ein erhebliches Risiko für jede Organisation dar, von der die betroffene Software verwendet wird. Für Unternehmen in verschiedenen Branchen wie dem Finanzwesen, dem Gesundheitswesen, der Regierung und der Fertigung sind sichere Dateiübertragungen für ihren Betrieb von entscheidender Bedeutung. Organisationen, die mit sensiblen oder regulierten Daten wie personenbezogene Daten (PII) oder geschützte Gesundheitsinformationen (PHI) umgehen, können schwerwiegenden Konsequenzen gegenüberstehen, wenn ihre Daten durch diese Schwachstelle kompromittiert werden.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Maßnahmen, um die Auswirkungen eines nicht authentifizierten SQLi-Fehlers in der MOVEit Transfer Software zu begrenzen:

  • Aktualisieren Sie die MOVEit Transfer-Software sofort auf die neueste vom Anbieter bereitgestellte Version. Notwendige Updates sind für alle wichtigen MOVEit Transfer-Versionen verfügbar. Dieser Patch sollte die identifizierte Schwachstelle beheben und sicherstellen, dass Ihr System vor potenzieller Ausnutzung geschützt ist.
  • Implementieren Sie einen robusten Patch-Management-Prozess, um sicherzustellen, dass alle Software und Anwendungen, einschließlich MOVEit Transfer, regelmäßig mit den neuesten Security-Patches aktualisiert werden. Die rechtzeitige Anwendung von Patches trägt zum Schutz vor bekannten Schwachstellen bei.
  • Trennen Sie kritische Systeme und sensible Daten von der angreifbaren Software, indem Sie Netzwerksegmentierung implementieren. Dies kann dazu beitrage, potenzielle Kompromittierung einzudämmen und die laterale Bewegung des Angreifers innerhalb des Netzwerks zu begrenzen.
  • Verwenden Sie Barracuda XDR, um den Netzwerkverkehr zu überwachen, zu erkennen und zu analysieren, zur Identifizierung von IOCs und potenzieller Ausnutzung im Zusammenhang mit den Schwachstellen der MOVEit Transfer Software.
  • Stärken Sie das Bewusstsein von Benutzern und Mitarbeitenden über die mit dieser Schwachstelle verbundenen Risiken. Fördern Sie Best Practices wie eine starke Passworthygiene, Vorsicht beim Öffnen von E-Mail-Anhängen und das Melden von verdächtigen oder ungewöhnlichen Aktivitäten an das IT-/Security-Team.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

 

 

Anika Jishan

Anika ist Cybersecurity-Analystin bei Barracuda MSP. Sie arbeitet innerhalb unseres Security Operations Center als Security-Expertin in unserem Blue Team. Annika unterstützt die Bereitstellung unseres XDR-Service und ist hochqualifiziert in der Analyse von Security-Ereignissen, um Cyber-Bedrohungen zu erkennen und zum Schutz unserer Partner und deren Kunden beizutragen.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.