Update #3 - Kritische Sicherheitslücke in MOVEit Transfer - weitere Updates verfügbar

01. Juni 2023

Beschreibung

In MOVEit Transfer existiert eine kritische Sicherheitslücke, die eine Rechteausweitung und potentiell unautorisierten Zugriff ermöglicht.

CVE-Nummer(n): TBA

CVSS Base Score: TBA

Auswirkungen

Bis jetzt wurde die Lücke für Datendiebstahl ausgenutzt. Das volle Potential der Lücke ist jedoch noch nicht bekannt.

Betroffene Systeme

Versionen die niedriger sind als:

• < MOVEit Transfer 2023.0.1
• < MOVEit Transfer 2022.0.4
• < MOVEit Transfer 2022.1.5
• < MOVEit Transfer 2021.1.4
• < MOVEit Transfer 2021.0.6

Abhilfe

Einspielen der vom Hersteller zur Verfügung gestellten Patches.

Mitigation: Der Hersteller empfiehlt jeglichen HTTP und HTTPs Verkehr zur MOVEit Transfer Umgebung zu blockieren.

IOCs für potentielle Webshell:

• Prüfen Sie den Ordner c:\MOVEit Transfer\wwwroot\ auf unbekannte Dateien (inkl. Backups).
• Prüfen Sie ob größere Datentransfers stattgefunden haben.
• Sperren Sie die IP 5[.]252.191.14
• Suchen Sie nach der Datei "human2.aspx" im Ordner: c:\MOVEit Transfer\wwwroot\

• 89.39.105[.]108 (WorldStream)
• 5.252.190[.]0/24
• 5.252.189-195[.]x
• 148.113.152[.]144 (reported by the community)
• 138.197.152[.]201
• 209.97.137[.]33

• 198.27.75.110
• 209.222.103.170
• 84.234.96.104
• human2.aspx.lnk
• C:\Windows\TEMP\[random]\[random].cmdline
• POST /moveitisapi/moveitisapi.dll
• POST /guestaccess.aspx
• POST /api/v1/folders/[random]/files
• Health Check Service (Name des MOVEit Transfer Kontos/Benutzername)
• SHA256 Hashes der Human2.aspx Datei:
  • 0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
    110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
    1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
    2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
    58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
    98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
    a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
    b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
    cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
    ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c
    0b3220b11698b1436d1d866ac07cc90018e59884e91a8cb71ef8924309f1e0e9
    110e301d3b5019177728010202c8096824829c0b11bb0dc0bff55547ead18286
    1826268249e1ea58275328102a5a8d158d36b4fd312009e4a2526f0bfbc30de2
    2ccf7e42afd3f6bf845865c74b2e01e2046e541bb633d037b05bd1cdb296fa59
    58ccfb603cdc4d305fddd52b84ad3f58ff554f1af4d7ef164007cb8438976166
    98a30c7251cf622bd4abce92ab527c3f233b817a57519c2dd2bf8e3d3ccb7db8
    a8f6c1ccba662a908ef7b0cb3cc59c2d1c9e2cbbe1866937da81c4c616e68986
    b5ef11d04604c9145e4fe1bedaeb52f2c2345703d52115a5bf11ea56d7fb6b03
    cec425b3383890b63f5022054c396f6d510fae436041add935cd6ce42033f621
    ed0c3e75b7ac2587a5892ca951707b4e0dd9c8b18aaf8590c24720d73aa6b90c

Hinweis

Generell empfiehlt Cert.at und cyber[contact], sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

---

Informationsquelle(n):

MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

Artikel auf Reddit (englisch):
https://www.reddit.com/r/msp/comments/13xjs1y/tracking_emerging_moveit_transfer_critical/

Artikel bei Rapid7 (englisch):
https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

Update #1: Artikel bei Huntress (englisch):
https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response

Update #3: MOVEit Transfer Advisory (englisch):
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023