Erneut kritische Lücke in MOVEit Transfer entdeckt

Progress Software hat erneut eine schwerwiegende Sicherheitslücke in seiner Dateiübertragungssoftware MOVEit Transfer geschlossen. Ein Angreifer kann unter Umständen aus der Ferne Inhalte einer MOVEit-Datenbank verändern oder auslesen.

Die Schwachstelle mit der Kennung CVE-2023-36934 stuft Progress als kritisch ein. Auslöser ist demnach eine SQL-Injection-Vulnerability in der Webanwendung MOVEit Transfer. Sie erlaubt einem nicht authentifizierten Angreifer, auf die MOVEit-Transfer-Datenbank zuzugreifen. Entdeckt wurde der Bug von einem Mitarbeiter von Trend Micro.

Darüber hinaus werden mit dem aktuellen Service Pack Juli 2023 zwei Löcher gestopft, von denen ein hohes Risiko ausgeht. Auch hier alle unterstützten Versionen von MOVEit Transfer betroffen. Bei der ersten Lücke können Angreifer erneut über eine SQL Injection Code einschleusen und ohne Authentifizierung auf eine Datenbank zugreifen. Der zweite Fehler lässt sich indes für DoS-Angriffe ausnutzen, weil er einen Absturz der Anwendung auslösen kann. Gemeldet wurden beide Fehler über das Prämienprogramm von HackerOne.

Die Software MOVEit Transfer war zuletzt ins Visier von Hackern geraten. Sie hatten vor allem Zero-Day-Lücken ausgenutzt, um Netzwerke zu knacken und die Ransomware Clop zu verbreiten. Davon betroffen waren unter anderem eine Siemens-Tochter und das Bewertungsportal Verivox.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bericht: Google entwickelt App-Quarantäne für Android

Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…

46 seconds ago

Kostenloser Kurs zum Ausbau von Low-Code-Programmierung

Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…

3 Stunden ago

Cloudflare: DNS-basierte DDoS-Angriffe steigen im ersten Quartal um 80 Prozent

Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…

6 Stunden ago

Roblox: 34 Millionen Zugangsdaten im Darknet

Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…

8 Stunden ago

EU-Datenschützer kritisieren Facebooks „Zustimmung oder Bezahlung“-Modell

Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…

3 Tagen ago

Europol meldet Zerschlagung der Phishing-as-a-Service-Plattform LabHost

LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…

3 Tagen ago