Neue kritische MOVEit-Sicherheitslücke – Cybergang Cl0p veröffentlicht Namen
Während Progress die dritte kritische Lücke in MOVEit Transfer in kurzer Zeit meldet, veröffentlicht die Cybergang Cl0p Namen von Einbruchsopfern.
(Bild: Pixels Hunter/Shutterstock.com)
Administratoren von MOVEit Transfer kommen nicht zur Ruhe. Nach den Updates für eine weitere kritische Lücke vom vergangenen Freitag ist nun abermals eine Aktualisierung der Software zum Abdichten eines kritischen Sicherheitslecks nötig. Zudem veröffentlicht die Cybergang Cl0p Namen von Unternehmen, bei denen sie durch die bisherigen Schwachstellen einbrechen und Daten stehlen konnte.
MOVEit Transfer: Erneut Update zum Schließen einer kritischen Lücke
In einer neuen Sicherheitsmeldung warnt Hersteller Progress, dass aufgrund einer weiteren kritischen Lücke in MOVEit Transfer Angreifer ihre Rechte ausweiten und unautorisierten Zugriff auf die MOVEit-Umgebung erlangen können. Eine CVE-Nummer sei beantragt, aber noch nicht vergeben. Progress weist eindringlich darauf hin, dass alle Kunden mit MOVEit Transfer aktiv werden müssen.
Entweder müssen sie bereitstehende Aktualisierungen installieren oder temporäre Gegenmaßnahmen ergreifen. Darunter so illustre Lösungsvorschläge wie: "Deaktiviere sämtlichen HTTP- und HTTPS-Verkehr zu deiner MOVEit Transfer-Umgebung." IT-Verantwortliche könnten dann per RDP darauf zugreifen und als Adresse https://localhost/ nutzen.
Es stehen wie zuvor komplette Installationspakete oder DLL-Drop-ins bereit, die die Autoren in der Sicherheitsmeldung verlinken. Die Fassungen MOVEit Transfer 2023.0.3 (15.0.3), 2022.1.7 (14.1.7), 2022.0.6 (14.0.6), 2021.1.6 (13.1.6), 2021.0.8 (13.0.8) sowie 202.1.10 (12.1.10) dichten die neue kritische Schwachstelle ab. Wer ältere Fassungen von MOVEit Transfer einsetzt, muss das Upgrade auf eine unterstützte Fassung vornehmen.
Cybergang Cl0p erhöht den Druck auf Opfer-Unternehmen
Derweil hat die Cl0p-Cybergang begonnen, auf ihrer Darknet-Seite Namen von Unternehmen aufzulisten, bei denen sie einbrechen und Daten stehlen konnte. Darunter sind bekannte Namen wie Shell, 1st Source oder Heidelberger Druckmaschinen. Anders als sonst bei solchen Veröffentlichungen üblich nennt Cl0p jedoch lediglich Namen und Anschrift auf den jeweiligen Unterseiten. Belege oder Hinweise auf Art und Umfang kopierter Daten fehlen komplett.
(Bild: Screenshot / dmk)
Es gibt zudem Hinweise, dass die Cybergang auch bei US-amerikanischen Regierungseinrichtungen – etwa dem US Department of Energy und weiterer Regierungsorganisationen – eingebrochen ist und dort Daten kopiert hat. Dazu schreiben die Cybergangster auf ihrem Darknet-Auftritt: "Wir bekommen eine Menge E-Mails bezüglich Regierungsdaten. Die haben wir nicht, wir haben diese Informationen vollständig gelöscht. Wir sind ausschließlich an Business interessiert. Alles mit Bezug auf die Regierung wurde gelöscht". Das erklärt jedoch, warum inzwischen auch die US-amerikanische Cyber-Sicherheitsbehörde CISA vor den kritischen Sicherheitslücken in MOVEit Transfer warnt.
Erst zum Freitagabend vergangener Woche hatte Progress vor einer weiteren kritischen Sicherheitslücke in MOVEit Transfer gewarnt. Dort wurde auch bekannt, dass die Cybergang Cl0p offenbar seit 2021 mit der zuerst bekannt gewordenen und massiv missbrauchten Schwachstelle experimentierte. Der Missbrauch der Lücke hat zahlreiche namhafte Opfer getroffen. Darunter etwa die BBC, British Airways oder in Deutschland diverse AOK-Landesverbände. Die AOKs haben bislang aber keine Hinweise auf Abfluss von Sozialdaten gefunden. Vergangene Woche wurde bekannt, dass die Ransomware-Bande Cl0p die Lücke massiv missbraucht und betroffene Unternehmen erpresst hat.
(dmk)
