Neue Schwachstellen in MOVEit Automation erlauben Zugriff und Rechteausweitung

Progress Software hat Updates veröffentlicht, um zwei Schwachstellen in MOVEit Automation zu beheben. Die erste ist der kritische Authentication Bypass CVE-2026-4670 (CVSS 9.8), der unautorisierten Zugriff auf das System und administrative Kontrolle ermöglicht, die zweite ein Fehler bei der Eingabeprüfung CVE-2026-5174 (CVSS 7.7), der zu einer Privilegienerweiterung führen kann. Betroffen sind serverseitige Deployments der Lösung für Managed File Transfer in Unternehmensumgebungen, es gibt keine Workarounds. Daher müssen Organisationen die Patches so schnell wie möglich installieren, um das Risiko einer Kompromittierung und von Datenlecks zu verringern.

Technische Details der Schwachstellen

MOVEit Automation (früher Central) ist eine serverseitige Lösung für Managed File Transfer (MFT), die die Übertragung von Daten zwischen Systemen automatisiert und terminiert, ohne dass eigens Skripte geschrieben werden müssen. Das macht sie zu einer hochkritischen Infrastrukturkomponente: Über sie laufen große Volumina vertraulicher Daten und Integrationsprozesse.

Die Schwachstellen betreffen die vom Hersteller unterstützten Versionen von MOVEit Automation (die konkreten Releases sind im offiziellen Advisory von Progress aufgeführt und werden im Ausgangsmaterial nicht genannt). Laut Beschreibung des Herstellers treten beide Fehler über die backend command port-Schnittstellen des Dienstes auf:

• CVE-2026-4670, CVSS 9.8 – kritische Schwachstelle vom Typ Authentication Bypass. Eine fehlerhafte Logik der serverseitigen Authentifizierungsprüfung ermöglicht es einem Angreifer, mit der Backend-Schnittstelle zu interagieren, als wäre er bereits authentifiziert. Aus Sicht des Bedrohungsmodells ist dies gleichbedeutend mit einem unautorisierten Zugriff auf eine hochprivilegierte API.
• CVE-2026-5174, CVSS 7.7 – Schwachstelle vom Typ „unzureichende Eingabevalidierung“, die zu einer Privilegienerweiterung führen kann. Unter bestimmten Bedingungen erlauben fehlerhaft verarbeitete Parameter, die an den Dienst übergeben werden, einem lokalen oder authentifizierten Benutzer, seine Rechte auf ein höheres Niveau auszudehnen.

Im Advisory von Progress wird gesondert hervorgehoben, dass die Kombination dieser Schwachstellen in den Backend-Schnittstellen zu einem Authentication Bypass mit anschließender Privilegienerweiterung führen kann, was einem Angreifer letztlich ermöglicht:

• nicht autorisierten Zugriff auf das MOVEit-Automation-System;
• administrative Kontrolle über die Installation;
• Zugriff auf Daten und deren mögliche Offenlegung.

Die Forscher von Airbus SecLab – Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau – wurden offiziell für das Auffinden und verantwortungsvolle Offenlegen beider Schwachstellen anerkannt. Der Hersteller weist darauf hin, dass es keine funktionierenden Workarounds gibt: Zur Beseitigung des Risikos sind Updates zwingend erforderlich.

Zum Zeitpunkt der Veröffentlichung des Advisory liegen keine Berichte über eine bestätigte Ausnutzung der genannten Schwachstellen „in freier Wildbahn“ vor. Dennoch sind beide Einträge bereits (oder werden es in Kürze sein) in der NVD-Datenbank verfügbar, was es ermöglicht, ihren Lebenszyklus und Aktualisierungen der Risikobewertungen nachzuverfolgen: CVE-2026-4670 in der NVD, CVE-2026-5174 in der NVD.

Bedrohungskontext: warum gerade MOVEit und MFT-Systeme

Systeme für Managed File Transfer, zu denen MOVEit Automation gehört, nehmen eine besondere Stellung ein: Sie sind gleichzeitig

• an geschäftskritische Business-Anwendungen und Datenspeicher angebunden;
• verarbeiten und übertragen sensible Dateien (Finanzdaten, personenbezogene Daten, Reports, Exporte aus ERP/CRM);
• verfügen häufig über weitreichende Netzfreigaben für den Zugriff auf interne und externe Systeme.

Aus diesem Grund haben frühere Schwachstellen in einem anderen Produkt der Reihe – MOVEit Transfer – bereits die Aufmerksamkeit von Erpressern auf sich gezogen, darunter der Verbund Cl0p, der solche Fehler ausnutzte, um Zugang zu Unternehmensdaten zu erlangen. Das Ausgangsmaterial weist ausdrücklich darauf hin, dass frühere Schwachstellen in MOVEit Transfer von Ransomware-Gruppen wie Cl0p ausgenutzt wurden, was das anhaltende Interesse von Angreifern an diesem Hersteller und dieser Lösungsklasse verdeutlicht.

Wesensmäßig fallen die im Advisory beschriebenen Schwachstellen unter die MITRE ATT&CK-Technik Exploit Public-Facing Application (T1190), sofern die Backend-Schnittstellen aus nicht vertrauenswürdigen Netzen erreichbar sind. Selbst wenn sie nominell als „intern“ gelten, führen in der Praxis Fehler in der Segmentierung, beim VPN-Zugang oder in der Firewall-Konfiguration häufig dazu, dass solche Ports für Angreifer nach einem ersten Eindringen ins Netzwerk erreichbar werden.

Bewertung der Auswirkungen auf Organisationen

Am stärksten gefährdet sind Organisationen, für die MOVEit Automation der zentrale Knoten für Integration und Dateiaustausch zwischen folgenden Systemen ist:

• internen Systemen (ERP, CRM, Buchhaltungssysteme, Datenspeicher);
• externen Gegenparteien und Services (Banken, Lieferanten, Partner);
• Cloud-Plattformen und Rechenzentren.

Mögliche Folgen, wenn nicht rechtzeitig aktualisiert wird:

• Kompromittierung vertraulicher Daten. MOVEit Automation arbeitet mit fertigen Exporten aus Business-Systemen, die häufig aggregierte, strukturierte und bereits gefilterte Daten enthalten – also Informationen, die für Angreifer besonders wertvoll sind.
• Vollständige Kontrolle über das Automatisierungssystem. Authentication Bypass plus Privilegienerweiterung können es einem Angreifer ermöglichen, Jobs zu modifizieren, Datenströme umzuleiten, bösartige Dateien oder Backdoors in die Kette einzuschleusen.
• Ausweitung des Angriffs innerhalb der Infrastruktur. Über Zugangsdaten, Schlüssel und Verbindungen, die in der Konfiguration von MOVEit Automation gespeichert sind, kann sich der Angreifer weiter im Netzwerk bewegen und Zugriff auf andere Systeme erlangen.
• Regulatorische und rechtliche Risiken. Da MFT-Systeme häufig zum Austausch personenbezogener Daten und Finanzinformationen eingesetzt werden, kann ein Leak über einen solchen Knoten Meldepflichten gegenüber Aufsichtsbehörden, Bußgelder und verpflichtende Kommunikation mit Kunden und Partnern nach sich ziehen.

Selbst wenn eine MOVEit-Automation-Installation formal nicht aus dem Internet erreichbar ist, bleibt das Risiko erheblich: Wird ein anderer Knoten im Netzwerk kompromittiert, kann ein Angreifer versuchen, die verwundbaren Backend-Schnittstellen für eine schnelle Privilegienerweiterung und für den Zugriff auf Daten zu nutzen.

Praktische Empfehlungen zur Risikominderung

1. Sofortige Aktualisierung und Priorisierung

• Identifizieren Sie alle Instanzen von MOVEit Automation in der Infrastruktur (einschließlich Test- und Backup-Systemen) anhand des Inventars, der CMDB und von Netzwerkscans.
• Gleichen Sie die installierten Versionen mit der Liste der verwundbaren Releases aus dem Advisory von Progress ab (siehe auch die NVD-Einträge: CVE-2026-4670, CVE-2026-5174).
• Planen Sie die Aktualisierung als höchste Priorität im Vulnerability Management ein: Die kritische Schwachstelle des Authentication Bypass (CVSS 9.8) rechtfertigt ein Notfall-Patching mit minimalen Testfenstern.

2. Einschränkung des Netzwerkzugriffs auf den backend command port

Selbst mit installierten Patches sollte die Erreichbarkeit hochprivilegierter Schnittstellen so weit wie möglich minimiert werden:

• Ermitteln Sie die Ports und Schnittstellen, über die der Backend-Zugriff auf MOVEit Automation erfolgt (gemäß Produktdokumentation und tatsächlicher Konfiguration).
• Beschränken Sie den Zugriff darauf ausschließlich auf administrative Hosts und benötigte Dienste mithilfe von Netzwerk-ACLs und Firewalls.
• Schließen Sie den Zugriff auf diese Schnittstellen aus Benutzersegmenten, allgemeinen VPN-Pools und insbesondere aus Zonen aus, die aus dem Internet erreichbar sind.

3. Verstärktes Monitoring und Suche nach möglichen Anzeichen einer Ausnutzung

Da es keine bestätigten Informationen über eine aktive Ausnutzung gibt, ist es sinnvoll, Protokolle und Telemetrie proaktiv zu überprüfen:

• Analysieren Sie die Authentifizierungslogs von MOVEit Automation im Hinblick auf:
  • verdächtige erfolgreiche Logins aus ungewöhnlichen Quellen;
  • mehrfache Zugriffsversuche auf administrative Funktionen;
  • Erstellung neuer Accounts mit hohen Rechten oder Änderung der Rollen bestehender Konten.
• Überprüfen Sie die Historie der Jobs und Automatisierungsskripte auf unerwartete Änderungen, neue Aufgaben oder eine Neukonfiguration der Zielsysteme.
• Korrelieren Sie Netzwerk-Logs (Firewall, Proxy, Intrusion-Detection-Systeme) mit den Zeiträumen, in denen verwundbare Versionen im Einsatz waren, um anomale Zugriffe auf die Backend-Schnittstellen zu erkennen.

4. Temporäre kompensierende Maßnahmen bis zur Installation der Patches

Ist ein sofortiges Update aus betrieblichen Gründen nicht möglich, sollten teilweise risikomindernde Maßnahmen ergriffen werden – in dem Bewusstsein, dass sie die Behebung der Schwachstellen nicht ersetzen:

• Beschränken oder deaktivieren Sie nach Möglichkeit vorübergehend externe Integrationen, die den backend command port nutzen, und lassen Sie nur geschäftskritische Verbindungen aktiv.
• Verschieben Sie MOVEit-Automation-Instanzen in ein möglichst isoliertes Netzwerksegment und minimieren Sie die Anzahl der Routen und Vertrauenszonen.
• Verstärken Sie die Zugriffskontrolle für Administrationskonten, die für die Verwaltung von MOVEit Automation verwendet werden (Multi-Faktor-Authentifizierung, zeitlich begrenzte Tokens, zusätzliche Freigabeprozesse bei risikoreichen Operationen).

Die zentrale Maßnahme für alle Organisationen, die MOVEit Automation einsetzen, besteht darin, im nächsten Wartungsfenster die verfügbaren Updates zu installieren, die CVE-2026-4670 und CVE-2026-5174 beheben, und gleichzeitig die Netzwerkkonnektivität der Backend-Schnittstellen des Dienstes zu überprüfen und strikt auf die unbedingt erforderlichen Quellen zu begrenzen.