Bereits 2023 geriet MOVEit in die Schlagzeilen durch schwerwiegende Sicherheitslücken, besonders im FTP-Modul. Die Cl0p-Gruppe nutzt die Lücke aus und griff sofort viele Unternehmen an. Nun gibt es wieder eine kritische Lücke mit einem CVSS-Wert 9.1 von 10. und auch jetzt gibt es schon wieder aktive Angriffe.
Für viele Unternehmen die MOVEit nutzen ist es wie ein Déjà-vu: erst letztes Jahr sorgten mehrere Schwachstellen für Angriffe durch die Cl0p-Gruppe. Es wurden viele Daten gestohlen und online zum Kauf angeboten. Jetzt warnt das BSI erneute wegen einer neuen Schwachstelle im SFTP-Modul und fordert zum sofortigen Patchen auf. Die CVE-2024-5806 beschreibt den Fehler im Produkt MOVEit Transfer und wurde mit einem CVSS Base-Score von 9.1 als „kritisch“ bewertet. Entfernte Angreifenden können die Authentifizierung umgehen und so Zugriff auf vertrauliche Daten erhalten (Lesen, Bearbeiten, Löschen).
Aktive Angriffe auf MOVEit laufen bereits
Nach aktuellem Kenntnisstand benötigen Angreifende dafür die Kenntnis über einen verwendeten Nutzernamen, der sich von extern authentifizieren kann bzw. darf und zudem muss der SFTP Dienst exponiert sein. Allerdings: Bereits kurz nach der Veröffentlichung wurden Angriffsversuche der Schwachstelle CVE-2024-5806 von der Gruppe ShadowServer erkannt.
Das BSI fordert Unternehmen auf die MOVEit nutzen den angebotenen Patch sofort einzuspielen:
- Für MOVEit Transfer sichern die Versionen 2023.0.11, 2023.1.6 und 2024.0.2 vor der Schwachstelle CVE-2024-5806.
- Für MOVEit Gateway steht die Version 2024.0.1 zum Schließen der Schwachstelle CVE-2024-5805 zur Verfügung.
Kommentar von Trend Micro
Vor fast genau einem Jahr im Mai und Juni 2023 stand Move-IT ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Auch damals warnte das BSI. Je mehr Aufmerksamkeit ein Cyberangriff in ihren Kreisen verursacht, desto höher die Lust nachzueifern. Und der Move-IT-Angriff von 2023 hatte es in sich. Die Verursacher, eine Untergrundorganisation namens „Clop“, stahlen Daten von etwa 1.000 Unternehmen, darunter viele aus dem Bereich des Finanzwesens und der Energiebranche. Über Wochen gab es Nachrichten dazu, weil immer wieder Firmen erklärten, nun auch betroffen zu sein. Und es floss Geld. Nach Untersuchungen der Firma Chainalysis waren das Millionen.
Schwachstellen als Geschäftsmodell
Im Jahr 2023 wurden mehr als 28.000 Schwachstellen mit einer CVE-Nummer beziffert. Die spannendsten Schwachstellen sind in weit verbreiteten Produkten und einfach zu verwenden. Liegt so etwas vor, dann stürzt man sich drauf. Aber natürlich tun das auch alle anderen. Und nachdem auch bei Verbrechern Marktgesetze wie Angebot und Nachfrage eine Rolle spielen, wird je nach Anzahl der kriminellen Angreifer die Anzahl der verwundbaren „Kunden“ kleiner.
Ein Großteil der bereits genannten 28.000 Sicherheitslücken sind deshalb nicht unbedingt „neu“ im Sinne von „unvorhersehbar“. Werden Lücken geschlossen, weil sie als brandgefährlich gelten oder bereits von Angreifern genutzt werden, dann zählt Geschwindigkeit. Man schließt erstmal das nötigste und patcht nach, sobald dafür Luft ist, oder neue Angreifer es erzwingen.
Das Katz-und-Maus-Spiel geht weiter und die eigentlichen Opfer, die Unternehmen, die diese Patche installieren müssen, kommen nicht mehr hinterher. Die so genannte „Meant Time to Patch“ (MTTP) – die durchschnittliche Zeit für das Ausrollen eines Patches liegt bei etwa 33 Tagen für Lücken, die als gefährlich eingestuft werden. Die Angriffsgeschwindigkeiten ist sogar bei „normalen“ Patchen – also solchen, die der betroffene Hersteller selbst findet und veröffentlicht – im Bereich von Stunden. So Richard Werner, Security Advisor bei Trend Micro.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.