Zusammenfassung:
- CVE-ID: CVE-2024-5806
- Betroffene Software: Progress MOVEit Transfer
- Versionen: Von 2023.0.0 vor 2023.0.11, von 2023.1.0 vor 2023.1.2
- Schwachstellentyp: Authentifizierungs-Bypass
- CVSS-Score: 9.1 (kritisch)
- Auswirkungsgrad: Ein Angreifer mit Upload-Berechtigungen auf dem MOVEit-Server kann diese Schwachstelle ausnutzen, um sich ohne gültige Anmeldeinformationen zu authentifizieren und Zugriff auf das System zu erhalten.
Technische Details:
Die Sicherheitslücke befindet sich im SFTP-Modul von Progress MOVEit Transfer und ermöglicht es einem Angreifer, eine Datei mit einem beliebigen Dateinamen anstelle eines öffentlichen Schlüssels hochzuladen. Wenn diese Datei von IPWorks gelesen wird, wird eine leere Zeichenfolge an MOVEit übergeben, was dem Angreifer eine erfolgreiche Authentifizierung ermöglicht.
Exploitation:
- Exploit-Code: Kurz nach der Veröffentlichung der Schwachstellendetails wurde öffentlich verfügbarer Exploit-Code veröffentlicht.
- Angriffsaktivität: Es wurde bereits aktive Exploitation der Schwachstelle beobachtet.
Empfehlungen:
- Patchen: Es wird dringend empfohlen, so schnell wie möglich auf die neueste Version von Progress MOVEit Transfer zu aktualisieren, die diese Schwachstelle behebt. Sie finden die Patches auf der Progress-Website: https://www.cisa.gov/news-events/alerts/2023/06/01/progress-software-releases-security-advisory-moveit-transfer
- Überwachung: Sie sollten Ihr System auf verdächtige Aktivitäten überwachen, die auf eine Ausnutzung dieser Schwachstelle hindeuten könnten.
Zusätzliche Ressourcen:
- Progress MOVEit Transfer Product Security Alert Bulletin – Juni 2024 – CVE-2024-5806: https://www.cisa.gov/news-events/alerts/2023/06/01/progress-software-releases-security-advisory-moveit-transfer
- National Vulnerability Database (NVD): https://nvd.nist.gov/vuln/detail/CVE-2024-5806
- SOC Prime Blog: https://socprime.com/tag/cve/
- BornCity Blog: https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806
Erkennung der Sicherheitslücke CVE-2024-5806 in Progress MOVEit Transfer
Es gibt verschiedene Möglichkeiten, die Sicherheitslücke CVE-2024-5806 in Progress MOVEit Transfer zu erkennen:
Manuelle Überprüfung:
- Systemprotokolle: Sie können die Systemprotokolle von MOVEit Transfer nach verdächtigen Aktivitäten durchsuchen, die auf eine Ausnutzung der Schwachstelle hindeuten könnten. Dazu gehören ungewöhnliche Anmeldeversuche, erfolgreiche Anmeldungen ohne gültige Anmeldeinformationen oder Änderungen an der Konfiguration des SFTP-Moduls.
- Netzwerkverkehr: Sie können den Netzwerkverkehr von MOVEit Transfer auf verdächtige Aktivitäten überwachen, die auf eine Ausnutzung der Schwachstelle hindeuten könnten. Dazu gehören Datenübertragungen von unbekannten oder nicht vertrauenswürdigen Quellen oder Versuche, sich mit dem SFTP-Modul zu verbinden, ohne die erforderlichen Authentifizierungsdaten zu verwenden.
Sicherheits-Scanner:
- Vulnerability-Scanner: Sie können einen Vulnerability-Scanner verwenden, um Ihr System auf bekannte Schwachstellen wie CVE-2024-5806 zu scannen. Diese Scanner können Ihnen helfen, die Schwachstelle auf Ihrem System zu identifizieren, auch wenn Sie sie nicht manuell suchen.
- Penetrationstests: Sie können einen Penetrationstest durchführen, um Ihr System auf Schwachstellen wie CVE-2024-5806 zu testen. Penetrationstests simulieren Angriffe auf Ihr System, um zu ermitteln, ob Angreifer die Schwachstellen ausnutzen können, um sich Zugang zu verschaffen.
Hinweis:
Die obigen Informationen basieren auf dem aktuellen Kenntnisstand und können sich im Laufe der Zeit ändern. Es wird empfohlen, die offiziellen Sicherheitshinweise von Progress zu konsultieren, um die neuesten Informationen zu erhalten.