Update #2 - Kritische Sicherheitslücke in MOVEit Transfer - Updates verfügbar

01. Juni 2023

Update #1: 2. Juni 2023, 11:20
Update #2: 2. Juni 2023, 14:35

Beschreibung

In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.

CVE-Nummer(n): TBA

CVSS Base Score: TBA

Auswirkungen

Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.

Betroffene Systeme

Versionen die niedriger sind als:

  • < MOVEit Transfer 2023.0.1
  • < MOVEit Transfer 2022.0.4
  • < MOVEit Transfer 2022.1.5
  • < MOVEit Transfer 2021.1.4
  • < MOVEit Transfer 2021.0.6

Abhilfe

Einspielen der vom Hersteller zur Verfügung gestellten Patches.

Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.

IOCs für potentielle Webshell:

    • Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).
    • Prüfen Sie ob größere Datentransfers stattgefunden haben.
    • Sperren Sie die IP 5[.]252.191.14
    • Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\
Update #1: 2. Juni 2023, 11:20
Es wurden weitere IOCs veröffentlicht:
  • 89.39.105[.]108 (WorldStream)
  • 5.252.190[.]0/24
  • 5.252.189-195[.]x
  • 148.113.152[.]144 (reported by the community)
  • 138.197.152[.]201
  • 209.97.137[.]33
Update #2: 2.Juni 2023, 14:35
Es wurden weitere IOCs veröffentlicht:
  • 198.27.75.110
  • 209.222.103.170
  • 84.234.96.104
  • human2.aspx.lnk
  • C:\Windows\TEMP\[random]\[random].cmdline
  • POST /moveitisapi/moveitisapi.dll
  • POST /guestaccess.aspx
  • POST /api/v1/folders/[random]/files
  • Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)
  • SHA256 Hashes der Human2.aspx Datei:
    • 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
      110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
      1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
      2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
      58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
      98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
      a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
      b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
      cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
      ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c
      0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
      110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
      1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
      2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
      58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
      98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
      a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
      b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
      cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
      ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/

Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

Update #1: Atrikerl bei Huntress (englisch):
https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response