Jetzt aktualisieren

Update: Progress schliesst drei Moveit-Sicherheitslücken

Uhr
von Coen Kaat und René Jaun und Zoe Wiss und lha, cla, tme

Progress stellt ein neues Service-Paket für drei aktuelle Sicherheitslücken von Moveit bereit. Zwei von ihnen gelten als hochriskant. Hackerbanden hatten die Transfer-Software in der Vergangenheit bereits mehrmals anvisiert.

(Source: PashaIgnatov / iStock)
(Source: PashaIgnatov / iStock)

Update vom 22.9.2023: Progress, Entwickler der Transfer-Software Moveit, behebt mit einem neuen Service-Pack drei Sicherheitslücken. Zwei davon gelten als hochriskant, wie "Heise" berichtet. In der Schweiz haben bereits mehrere Unternehmen Angriffe aufgrund von Moveit-Schwachstellen gemeldet. 

Die aktuellen Lücken betreffen zwei SQL-Injection-Schwachstellen in der Moveit Transfer-Maschinenschnittstelle, wie es weiter heisst. Unbefugte könnten dadurch Zugriff auf Moveit-Transfer-Datenbanken erlangen, Daten lesen oder gar verändern (CVE-2023-42660). Im Web-Interface könnten Angreifer zudem eine SQL-Injection-Lücke missbrauchen, um Inhalte aus der Datenbank offenzulegen oder zu verändern (CVE-2023-40043). 

Aller guten Dinge sind drei: Der dritte Patch schliesst eine Cross-Site-Scripting-Schwachstelle. Durch die sogenannte Package-Composition-Prodezur laufen Nutzer Gefahr, dass ihnen manipulierte Inhalte im Web-Interface untergeschoben werden, wie "Heise" weiter schreibt. Dies könne zur Ausführung von bösartigem Javascript im Nutzerkontext führen (CVE-2023-42656).  

Unternehmen, die mit der Datenaustausch-Software arbeiten, wird geraten, die neuen Versionen von Moveit umgehend zu installieren. Mehr Informationen zu den drei Schwachstellen, betroffenen Software-Versionen sowie eine Anleitung zur Installation des Service-Pakets finden Sie hier.

Update vom 20.6.2023

Erste Schweizer Opfer der Moveit-Attacken sind bekannt

Die Hackerbande Clop (auch Cl0p geschrieben) hat angefangen, im Darknet erste Namen ihrer mutmasslichen Opfer zu veröffentlichen. Wie "Watson" berichtet, soll es sich dabei um Unternehmen handeln, die das von der Bande geforderte Lösegeld nicht zahlen wollen. Die Hackergruppe droht damit, sensible Daten der Unternehmen zu veröffentlichen, wenn diese eine Zahlung weiterhin verweigern.

Im Watson-Bericht werden auch die Namen mutmasslicher Opfer aus der Schweiz genannt. Gegenüber dem Newsportal bestätigte die in Graubünden ansässige Krankenversicherung ÖKK, angegriffen worden zu sein. Abgeflossen seien Personendaten (wie Namen und Vornamen). Vom Angriff nicht betroffen ist laut der Krankenversicherung das Kernsystem.

Auch das niederländische Tourismusunternehmen Landal GreenParks, das auch in der Schweiz Übernachtungsmöglichkeiten anbietet, bestätigt einen Clop-Angriff. "Die personenbezogenen Daten, die möglicherweise erbeutet wurden, enthalten keine Passwörter oder Finanzangaben und keine Informationen über zukünftige Buchungen. Es handelt sich um die Namen und Kontaktdaten von etwa 12'000 Gästen", lässt sich eine Unternehmenssprecherin von Watson zitieren.

Wie es im Bericht weiter heisst, taucht auch die im bernischen Moosseedorf ansässige Unternehmensgruppe Marti in der Darknet-Liste der Hackerbande auf. Das Bauunternehmen mit mehr als 6000 Angestellten und 80 eigenständig geführten Tochtergesellschaften bestätigte jedoch bislang den Angriff nicht.

Das US-amerikanische Aussenministerium schrieb Ende letzter Woche eine Belohnung von bis zu 10 Millionen US-Dollar aus für Hinweise zur Clop-Bande, heisst es unter Berufung auf "Bleeping Computer".

Update vom 07.06.2023:

Ransomware-Bande Clop bekennt sich zu Moveit-Attacken

Anfang Juli haben das NCSC und andere IT-Sicherheitsstellen davor gewarnt, dass Cyberkriminelle eine Schwachstelle (CVE-2023-34362) in der File-Transfer-Software Moveit ausnutzen. Unterdessen ist bekannt, wer hinter den Attacken über diese Schwachstelle steckt: die Ransomware-Bande Clop (auch bekannt als Lace Tempest, TA505 und FIN11). Obwohl ursprünglich für Ransomware-Attacken bekannt, entwickelt sich die Bande zunehmend zum Datendieb.  

Zunächst hatte Microsoft die Attacken der Gruppierung zugeordnet. Kurz darauf bekannte sich auch Clop selbst gegenüber dem Nachrichtenportal "Bleepingcomputer" zu den Attacken. Nach eigenen Angaben nutze die Gruppe die Schwachstelle seit dem 27. Mai aus, heisst es in dem Bericht. 

Die Gruppierung wollte nicht sagen, von wie vielen Organisationen sie Daten gestohlen hat. Es soll sich aber um "Hunderte von Unternehmen" handeln. Der britische Anbieter von Gehaltsabrechnungs- und HR-Lösungen Zellis bestätigte bereits, dass Daten abgeflossen und auch Kunden betroffen seien. Zu diesen betroffenen Kunden zählen etwa die Fluggesellschaften Aer Lingus und British Airways. 

Die Ransomware-Bande fand auch hierzulande Opfer. Schon am 1. Juni seien entsprechende Meldungen von kompromittierten Organisationen in der Schweiz eingegangen, wie das NCSC mitteilt. Das NCSC appelliert an die Eigenverantwortung von Unternehmen und Betreiberinnen kritischer Infrastrukturen. Patches von kritischen Schwachstellen sollten rasch möglichst, also auch ausserhalb der ordentlichen Wartungsfenster, eingespielt werden.

Die Bande behauptet, dass sie alle bei diesen Angriffen gestohlenen Daten von Regierungen, dem Militär und Kinderkrankenhäusern gelöscht habe. Noch habe Clop nicht damit begonnen, die anderen Opfer zu erpressen. Wie "Bleepingcomputer" schreibt, nutzt die Bande wohl die Zeit, um die lohnenden Ziele zu identifizieren. Die Bande kündigte jedoch schon an, die Daten derjenigen Opfer, die nicht zahlen, auf ihrer Leak-Site zu veröffentlichen. 

Originalmeldung vom 02.06.2023: 

Schwachstelle in Managed-File-Transfer-Software gefährdet Kunden

Das Nationale Zentrum für Cybersicherheit (NCSC) warnt auf Twitter vor einer kritischen Schwachstelle in der Managed-File-Transfer-Software Moveit. Die Sicherheitslücke werde bereits erfolgreich und vielfach ausgenutzt, um Unternehmensdaten zu stehlen. Wer hinter den Angriffen steckt, ist noch nicht bekannt gemäss einem Tweet des NCSC. 

Wie der US-amerikanische Entwickler der Software, Progress, schreibt, kann ein Angreifer sich über die Sicherheitslücke erweiterte Rechte und unbefugten Zugriff auf die IT-Umgebung verschaffen. Das Unternehmen empfiehlt Kunden, umgehend Gegenmassnahmen einzuleiten und einen Patch herunterzuladen, der die Schwachstelle behebt. 

Mehr Informationen zur Schwachstelle und den Gegenmassnahmen finden Sie auf der Website des Softwareanbieters

Lesen Sie auch: Schwachstellen in IT-Produkten und -Lösungen sind heutzutage keine Seltenheit. Nicht alle werden ausreichend auf Mängel überprüft, bevor sie auf den Markt kommen. Das Nationale Testinstitut für Cybersicherheit will dem entgegenwirken. Wie das Institut prüfen will, was andere nicht prüfen, sagt NTC-Mitgründer Raphael Reischuk hier im Interview.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
EM2T7QYX