{"id":282021,"date":"2023-06-02T08:29:33","date_gmt":"2023-06-02T06:29:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282021"},"modified":"2023-06-07T08:46:26","modified_gmt":"2023-06-07T06:46:26","slug":"bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/","title":{"rendered":"Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" width=\"182\" height=\"182\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/06\/02\/warning-moveit-vulnerability-is-abused-in-attacks-data-extradicted\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Setzt jemand von euch die MOVEit Managed File Transfer (MFT)-Software ein? In der Managed File Transfer (MFT)-L\u00f6sung MOVEit gibt es eine Schwachstelle, die eine Ausweitung von Privilegien und den unberechtigten Zugriff auf die Umgebung der Software erm\u00f6glicht. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat eine Warnung der Bedrohungsstufe 4 ausgerufen. Denn inzwischen ist bekannt, dass die MOVEit Transfer-Zero-Day-Schwachstelle in gro\u00dfem Umfang f\u00fcr den\u00a0 Diebstahlsangriffe von Daten ausgenutzt wird. Inzwischen gibt es aber Sicherheitsupdates, und Administratoren m\u00fcssen zus\u00e4tzliche Kontrollen auf Kompromittierungen durchf\u00fchren.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist MOVEit?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/8759f62085ca4e219c256cdde039d1bd\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/www.ipswitch.com\/de\/moveit\" target=\"_blank\" rel=\"noopener\">MOVEit<\/a> ist eine Managed File Transfer (MFT)-Software, die eine \u00dcbertragung von Dateien zwischen verschiedenen Rechnern erm\u00f6glicht. Entwickelt wird die Software von Ipswitch, einer Tochtergesellschaft des US-Unternehmens Progress Software Corporation. MOVEit ist h\u00e4ufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Gesch\u00e4ftspartnern per Internet auszutauschen. Dabei werden Uploads \u00fcber die Protokolle SFTP, SCP und HTTP unterst\u00fctzt, um die Dateien sicher zu \u00fcbertragen.<\/p>\n<p>Das Unternehmen <a href=\"https:\/\/www.ipswitch.com\/de\/moveit\" target=\"_blank\" rel=\"noopener\">wirbt<\/a> damit, dass \"Progress MOVEit die f\u00fchrende Managed File Transfer (MFT)-Software sei, die von Tausenden von Unternehmen auf der ganzen Welt genutzt wird, um vollst\u00e4ndige Transparenz und Kontrolle \u00fcber Datei\u00fcbertragungsaktivit\u00e4ten zu gew\u00e4hrleisten. Ob als Service, in der Cloud oder vor Ort eingesetzt, MOVEit erm\u00f6glicht Ihrem Unternehmen die Einhaltung von Compliance-Standards, die einfache Gew\u00e4hrleistung der Zuverl\u00e4ssigkeit von wichtigen Gesch\u00e4ftsprozessen und die sichere \u00dcbertragung von vertraulichen Daten zwischen Partnern, Kunden, Benutzern und Systemen.\"<\/p>\n<h2>SQL Injection-Schwachstelle in MOVEit<\/h2>\n<p>Progress hat zum 31. Mai 2023 einen <a href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-Critical-Vulnerability-31May2023\" target=\"_blank\" rel=\"noopener\">Sicherheitshinweise ver\u00f6ffentlich<\/a>, in dem vor einiger kritischen Schwachstelle in der Managed File Transfer (MFT)-Software MOVEit gewarnt wird. In der Warnung hei\u00dft es: <em>Progress hat eine Schwachstelle in MOVEit Transfer entdeckt, die zu erweiterten Privilegien und potenziell unberechtigtem Zugriff auf die Umgebung f\u00fchren kann.<\/em><\/p>\n<p>Es handelt sich um eine SQL Injection-Schwachstelle, f\u00fcr die noch kein CVE-Wert vergeben wurde. Die SQL-Injection-Schwachstelle wurde in der MOVEit Transfer-Webanwendung gefunden. Diese Schwachstelle k\u00f6nnte es einem nicht authentifizierten Angreifer erm\u00f6glichen, unbefugten Zugriff auf die Datenbank von MOVEit Transfer zu erlangen, hei\u00dft es im Sicherheitshinweis.<\/p>\n<p>Je nach der verwendeten Datenbank-Engine (MySQL, Microsoft SQL Server oder Azure SQL) kann ein Angreifer m\u00f6glicherweise Informationen \u00fcber die Struktur und den Inhalt der Datenbank ableiten und SQL-Anweisungen ausf\u00fchren, die Datenbankelemente \u00e4ndern oder l\u00f6schen.<\/p>\n<blockquote><p>Ich hatte zwar irgendwie noch etwas von einer Schwachstelle in einer Managed File Transfer (MFT)-Software im Hinterkopf. Dies bezog sich aber auf eine Schwachstelle in Fortra GoAnywhere (siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/02\/06\/nachlese-zu-sicherheitslcken-und-patches-6-feb-2023\/\">Nachlese zu Sicherheitsl\u00fccken und Patches (6. Feb. 2023)<\/a>).<\/p><\/blockquote>\n<h2>Sofort Ma\u00dfnahmen ergreifen<\/h2>\n<p>Es sind alle (ungepatchten) Progress MOVEit Transfer-Versionen betroffen (siehe unten). Im Sicherheitshinweis gibt der Anbieter zudem die Empfehlung, den gesamten HTTP- und HTTPs-Datenverkehr zur MOVEit Transfer-Umgebung zu deaktivieren, bis die verf\u00fcgbaren Sicherheitsupdates installiert sind. Empfohlen wird, die Firewall-Regeln so zu setzen, dass der HTTP- und HTTPs-Datenverkehr zu MOVEit Transfer an den Ports 80 und 443 verweigert wird, bis einer der nachfolgenden Patches angewendet werden kann. Diese Deaktivierung hat aber die folgenden Einschr\u00e4nkungen:<\/p>\n<ul>\n<li>Die Benutzer k\u00f6nnen sich nicht bei der MOVEit Transfer-Web-UI anmelden.<\/li>\n<li>MOVEit Automation-Aufgaben, die den nativen MOVEit Transfer-Host verwenden, funktionieren nicht.<\/li>\n<li>REST-, Java- und .NET-APIs werden nicht funktionieren<\/li>\n<li>MOVEit Transfer-Add-In f\u00fcr Outlook funktioniert nicht<\/li>\n<\/ul>\n<p>Zudem sollen Administratoren die MOVEit-Umgebung inspizieren und pr\u00fcfen, ob dort unbekannte Dateien und Benutzerkonten von Dritten angelegt wurden. Konkret hei\u00dft es: <em>L\u00f6schen Sie nicht autorisierte Dateien und Benutzerkonten.<\/em><\/p>\n<ul>\n<li>L\u00f6schen Sie alle Instanzen der Skriptdateien human2.aspx und .cmdline.<\/li>\n<li>Suchen Sie auf dem MOVEit Transfer-Server nach allen neuen Dateien, die im Verzeichnis C:\\MOVEitTransfer\\wwwroot\\ erstellt wurden.<\/li>\n<li>Suchen Sie auf dem MOVEit Transfer-Server nach neuen Dateien, die im Verzeichnis C:\\Windows\\TEMP\\[random]\\ mit der Dateierweiterung [.]cmdline<\/li>\n<li>Entfernen Sie alle nicht autorisierten Benutzerkonten.<\/li>\n<\/ul>\n<p>Zudem sollen Administratoren die Protokolle (Transfer-Logs) auf unerwartete Downloads von Dateien von unbekannten IPs oder auf eine gro\u00dfe Anzahl von heruntergeladenen Dateien \u00fcberpr\u00fcfen. Und die Anmeldeinformationen sind f\u00fcr das Dienstkonto f\u00fcr die betroffenen Systeme und das MOVEit-Dienstkonto zur\u00fcck zusetzen.<\/p>\n<h2>MOVEit Transfer-Sicherheitsupdates<\/h2>\n<p>Betroffen sind alle Progress MOVEit Transfer vor 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1). Der Hersteller hat aber Sicherheitsupdates zum Schlie\u00dfen der Schwachstelle bereitgestellt. Nachfolgende Tabelle zeigt eine \u00dcbersicht der betroffenen und der gepatchten Versionen &#8211; die Links sind im <a href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-Critical-Vulnerability-31May2023\" target=\"_blank\" rel=\"noopener\">Sicherheitshinweise<\/a> abrufbar.<\/p>\n<p><img decoding=\"async\" title=\"MOVEit Transfer Patches\" src=\"https:\/\/i.imgur.com\/0f2V1QZ.png\" alt=\"MOVEit Transfer Patches\" \/><\/p>\n<p>Nach dem Einspielen des Patches kann die Blockade des HTTP- und HTTPs-Datenverkehrs zur MOVEit Transfer-Umgebung wieder zugelassen werden.<\/p>\n<h2>Massenangriff beobachtet, das BSI warnt<\/h2>\n<p>Blog-Leser Stefan A. hat mich gestern Abend per E-Mail noch dar\u00fcber informiert, dass das BSI Alarm geschlagen hat, weil die Schwachstelle inzwischen im Fokus von Kriminellen steht (danke daf\u00fcr). Stefan schrieb:<\/p>\n<blockquote><p><strong>Betreff: BSI &#8211; Bedrohungsstufe 4 &#8211; Ausnutzung einer Schwachstelle in der Software MOVEit Transfer<\/strong><\/p>\n<p>Hallo Herr Born,<\/p>\n<p>ich habe gerade gesehen, dass das BSI heute Abend eine Cyber-Sicherheitswarnung mit Bedrohungsstufe 4 \u201eSehr hoch\" ausgegeben hat.<\/p>\n<p>Hierbei handelt sich um die Ausnutzung einer Schwachstelle in der Software MOVEit Transfer.<\/p>\n<p>Da es noch keinen Patch gibt, wird quasi empfohlen \u201eden Stecker zu ziehen\".<\/p>\n<p>Ich muss sagen, ich kannte die Software bisher noch gar nicht.<\/p>\n<p>Da ihr Blog doch eine gro\u00dfe Reichweite hat, dachte ich, Sie k\u00f6nnten vllt. auch die Leserschaft warnen.<\/p><\/blockquote>\n<p>Die Warnung des BSI vom 31. Mai 2023 erfolgt in Form einer PDF-Datei, die sich unter <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Cybersicherheitswarnungen\/DE\/2023\/2023-240133-1000.pdf\" target=\"_blank\" rel=\"noopener\">diesem Link<\/a> abrufen l\u00e4sst. Das BSI schreibt, dass es noch keine Hinweise auf die Ausnutzung mittels Malware gebe und Stefan schrieb in obigem Text, dass es noch keinen Patch g\u00e4be. Beide Informationen sind inzwischen \u00fcberholt. Weiter oben habe ich die Tabelle mit der Liste der Sicherheitspatches f\u00fcr die MOVEit-Versionen ver\u00f6ffentlicht.<\/p>\n<p>Die Kollegen von Bleeping Computer warnen im Artikel <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks\/\" target=\"_blank\" rel=\"noopener\">New MOVEit Transfer zero-day mass-exploited in data theft attacks<\/a> vor Angriffen \u00fcber die Schwachstelle. Laut Artikel liegen Bleeping Computer Hinweise vor, dass Bedrohungsakteure diese Zero-Day-L\u00fccke in der MOVEit-Software ausgenutzt haben, um massenhaft Daten aus Unternehmen herunterzuladen. Laut Artikel ist es aber unklar, ab wann die Schwachstelle ausgenutzt wurde und welche Bedrohungsakteure hinter den Angriffen stecken. Laut BleepingComputer wurden aber zahlreiche Organisationen angegriffen und Daten gestohlen. Darauf deuten auch die Hinweise im Sicherheitshinweis des Herstellers hin, der angibt, dass Administratoren die Konten und hochgeladenen Dateien inspizieren, die Zugangsdaten f\u00fcr Konten zur\u00fccksetzen und die Log-Dateien auswerten sollen.<\/p>\n<p><strong>Erg\u00e4nzung: <\/strong>Inzwischen gibt es auch eine Warnung auf <a href=\"https:\/\/twitter.com\/certbund\/status\/1664516406174515202\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> mit aktualisierten Informationen und der Best\u00e4tigung der Ausnutzung sowie best\u00e4tigtem Datenabfluss.<\/p>\n<p><a href=\"https:\/\/twitter.com\/certbund\/status\/1664516406174515202\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/wMFPj3yN\/image.png\" \/><\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/05\/lace-tempest-clop-ransomware-gang-nutzt-moveit-schwachstelle-cve-2023-34362\/\">Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/07\/moveit-schwachstelle-tangiert-100-deutsche-firmen-aoks-von-datenabfluss-betroffen\/\" rel=\"bookmark\">MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Setzt jemand von euch die MOVEit Managed File Transfer (MFT)-Software ein? In der Managed File Transfer (MFT)-L\u00f6sung MOVEit gibt es eine Schwachstelle, die eine Ausweitung von Privilegien und den unberechtigten Zugriff auf die Umgebung der Software erm\u00f6glicht. Das Bundesamt f\u00fcr &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/02\/bedrohungsstufe-4-bsi-warnung-vor-ausgenutzter-moveit-schwachstelle\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282021","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282021","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282021"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282021\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}