Progress Software hat mit seinem September-Service-Pack 3 neu entdeckte Sicherheitslücken in der Datenaustausch-Software Moveit Transfer behoben. 2 davon werden als hochriskant eingestuft.

CVE-2023-42660 ist eine SQL-Injection-Schwachstelle, über die Hacker Zugriff auf die Moveit-Transfer-Datenbank erlangen und so Daten lesen oder verändern könnten. Dazu müssen sie allerdings authentisiert sein, also ein gültiges Login besitzen. Eine ähnliche Lücke (CVE-2023-40043) im Webinterface kann es Angreifern erlauben, mit manipulierten Anfragen Inhalte aus der Datenbank abzugreifen oder zu verändern

Bei der dritten, als etwas weniger gravierend eingestuften Schwachstelle, handelt es sich um eine Cross-Site-Scripting-Lücke (CVE-2023-42656)

Die 3 Lücken sind in den aktuellen Moveit-Transfer-Versionen 2021.1.8 (13.1.8), 2022.0.8 (14.0.8), 2022.1.9 (14.1.9) und 2023.0.6 (15.0.6) geschlossen worden. Wer noch ältere Versionen der Software bis 2021.0.x (13.0.x) einsetzt, sollte dringend auf neuere noch unterstütze Versionen wechseln.

Vor rund dreieinhalb Monaten gab die Ransomware-Bande Clop bekannt, dass sie über eine Schwachstelle in Moveit in die Systeme vieler Unternehmen und Behörden eingedrungen sei und Daten gestohlen habe. Sie begann daraufhin, ihre Opfer zu erpressen, indem sie mit der Veröffentlichung der Daten drohte. Zu den Opfern gehören viele namhafte Grossunternehmen, etwa EY, PricewaterhouseCoopers, Schneider Electric oder Siemens Energy. Auch in der Schweiz gab es prominente Opfer, wie den Baukonzern Marti oder die Versicherung ÖKK. Immer noch werden laufend neue betroffene Unternehmen bekannt.

Es ist anzunehmen, dass Clop oder andere Hacker auch jetzt wieder nach Moveit-Anwendern suchen, die noch nicht auf die neuesten Versionen gewechselt haben, um die neu bekannt gegebenen Sicherheitslücken auszunutzen.