Progress Software випустила оновлення для усунення двох вразливостей у MOVEit Automation, одна з яких — критичний обхід автентифікації CVE-2026-4670 (CVSS 9.8), що дозволяє отримати несанкціонований доступ до системи та адміністративний контроль, а друга — помилка перевірки вхідних даних CVE-2026-5174 (CVSS 7.7), яка веде до підвищення привілеїв. Під ризиком — серверні розгортання рішення для керованого обміну файлами в корпоративних середовищах, обхідних рішень немає, тому організаціям необхідно якнайшвидше встановити патчі, щоб знизити ризик компрометації та витоку даних.
Технічні деталі вразливостей
MOVEit Automation (раніше Central) — серверне рішення для керованої передачі файлів (MFT), яке автоматизує та планує переміщення даних між системами без використання власноруч написаних скриптів. Це робить його вкрай критичним компонентом інфраструктури: через нього проходять великі обсяги конфіденційних даних і виконуються інтеграційні процеси.
Вразливості зачіпають підтримувані вендором версії MOVEit Automation (конкретні релізи перелічені в офіційному advisory Progress, у вихідному матеріалі не наводяться). Згідно з описом вендора, обидва дефекти проявляються через інтерфейси backend command port сервісу:
- CVE-2026-4670, CVSS 9.8 — критична вразливість обходу автентифікації. Некоректна логіка перевірки справжності на серверному боці дозволяє зловмиснику взаємодіяти з backend-інтерфейсом так, ніби він уже пройшов автентифікацію. З погляду моделі загроз це еквівалентно отриманню несанкціонованого доступу до високо привілейованого API.
- CVE-2026-5174, CVSS 7.7 — вразливість «неправильна перевірка вхідних даних», яка може призвести до підвищення привілеїв. За певних умов некоректно оброблені параметри, що надходять у сервіс, дозволяють локальному або автентифікованому користувачу розширити свої права до вищого рівня.
В advisory Progress окремо підкреслюється, що поєднання цих вразливостей у backend-інтерфейсах може призвести до обходу автентифікації та подальшого підвищення привілеїв, що в підсумку дає зловмиснику:
- неавторизований доступ до системи MOVEit Automation;
- адміністративний контроль над інсталяцією;
- доступ до даних і їх потенційне розкриття.
Дослідники Airbus SecLab — Anaïs Gantet, Delphine Gourdou, Quentin Liddell і Matteo Ricordeau — отримали офіційне визнання за виявлення та відповідальне розкриття обох вразливостей. Вендор зазначає, що працездатних обхідних рішень немає: для усунення ризику потрібні саме оновлення.
На момент публікації advisory не повідомляється про підтверджену експлуатацію зазначених вразливостей «у дикій природі». Втім, обидва записи вже присутні (або будуть присутні) у базі NVD, що дає змогу відстежувати їх життєвий цикл і оновлення оцінок ризику: CVE-2026-4670 в NVD, CVE-2026-5174 в NVD.
Контекст загроз: чому саме MOVEit і MFT-системи
Системи керованої передачі файлів, до яких належить MOVEit Automation, посідають унікальне місце: вони одночасно:
- під’єднані до критично важливих бізнес-застосунків і сховищ даних;
- обробляють і переміщують чутливі файли (фінансові дані, персональні дані, звіти, вигрузки з ERP/CRM);
- часто мають широкі мережеві доступи до внутрішніх і зовнішніх систем.
Саме тому попередні вразливості в іншому продукті лінійки — MOVEit Transfer — вже привертали увагу вимагачів, зокрема угруповання Cl0p, яке експлуатувало такі дефекти для отримання доступу до даних організацій. Початковий матеріал прямо зазначає, що ранні вразливості в MOVEit Transfer використовувалися групами шифрувальників на кшталт Cl0p, що демонструє стійкий інтерес зловмисників до цього вендора та класу рішень.
За своєю суттю описані в advisory вразливості підпадають під техніку MITRE ATT&CK Exploit Public-Facing Application (T1190), якщо backend-інтерфейси виявляються доступними з недовірених мереж. Навіть якщо вони номінально вважаються «внутрішніми», на практиці помилки в сегментації, VPN-доступі або налаштуваннях брандмауера нерідко роблять такі порти досяжними для зловмисника після первинного проникнення в мережу.
Оцінка впливу на організації
Найбільшому ризику зазнають організації, для яких MOVEit Automation — центральний вузол інтеграції та обміну файлами між:
- внутрішніми системами (ERP, CRM, облікові системи, сховища даних);
- зовнішніми контрагентами та сервісами (банки, постачальники, партнери);
- хмарними платформами та дата-центрами.
Потенційні наслідки за відсутності своєчасного оновлення:
- Компрометація конфіденційних даних. MOVEit Automation працює з готовими експортами з бізнес-систем, що часто містять агреговані, структуровані та вже відфільтровані дані — тобто особливо цінну для зловмисника інформацію.
- Повний контроль над системою автоматизації. Обхід автентифікації плюс підвищення привілеїв можуть дозволити зловмиснику модифікувати завдання, перенаправляти потоки даних, вбудовувати в ланцюжок шкідливі файли або бекдори.
- Розвиток атаки всередині інфраструктури. Через облікові дані, ключі та підключення, що зберігаються в конфігурації MOVEit Automation, зловмисник може рухатися далі мережею, отримуючи доступ до інших систем.
- Регуляторні та юридичні ризики. Оскільки MFT-системи нерідко використовуються для обміну персональними даними та фінансовою інформацією, витік через такий вузол може спричинити повідомлення регуляторів, штрафи та обов’язкову комунікацію з клієнтами й партнерами.
Навіть якщо інсталяція MOVEit Automation формально недоступна з інтернету, ризик залишається значним: у разі компрометації будь-якого іншого вузла в мережі зловмисник може спробувати використати вразливі backend-інтерфейси для швидкого підвищення привілеїв і доступу до даних.
Практичні рекомендації щодо зниження ризику
1. Негайне оновлення та пріоритизація
- Визначте всі інстанси MOVEit Automation в інфраструктурі (включно з тестовими й резервними), використовуючи інвентаризацію, CMDB та мережеві скани.
- Зіставте встановлені версії з переліком вразливих, наведеним в advisory Progress (див. також записи NVD: CVE-2026-4670, CVE-2026-5174).
- Заплануйте оновлення як найвищий пріоритет для управління вразливостями: критичний дефект обходу автентифікації (CVSS 9.8) виправдовує екстрений патчинг з мінімальними вікнами на тестування.
2. Обмеження мережевого доступу до backend command port
Навіть із встановленими патчами варто мінімізувати доступність високо привілейованих інтерфейсів:
- Визначте порти та інтерфейси, через які здійснюється backend-доступ до MOVEit Automation (за документацією продукту та фактичною конфігурацією).
- Обмежте доступ до них лише адміністративними хостами та потрібними сервісами за допомогою мережевих списків контролю доступу та брандмауерів.
- Унеможливте доступ до цих інтерфейсів із сегментів для користувачів, загальних VPN-пулів і особливо із зон, доступних з інтернету.
3. Посилення моніторингу та пошук можливих ознак експлуатації
Оскільки немає підтвердженої інформації про активну експлуатацію, доцільно проактивно перевірити журнали й телеметрію:
- Проаналізуйте журнали автентифікації MOVEit Automation на предмет:
- підозрілих успішних входів із незвичних джерел;
- численних спроб доступу до адміністративних функцій;
- створення нових облікових записів із високими правами або зміни ролей наявних.
- Перевірте історію завдань і сценаріїв автоматизації на внесення неочікуваних змін, появу нових завдань чи переналаштування цільових систем.
- Зіставте мережеві логи (firewall, проксі, системи виявлення вторгнень) з часовими вікнами, коли вразливі версії були розгорнуті, щоб виявити аномальне звернення до backend-інтерфейсів.
4. Тимчасові компенсувальні заходи до встановлення патчів
Якщо негайне оновлення неможливе з операційних причин, варто застосувати часткові заходи зниження ризику, розуміючи, що вони не замінюють виправлення вразливостей:
- За можливості тимчасово обмежити або відключити зовнішні інтеграції, які використовують backend command port, залишивши лише критично необхідні для безперервності бізнесу.
- Перенести інстанси MOVEit Automation до максимально ізольованого мережевого сегмента, мінімізувавши кількість маршрутів і довірених зон.
- Посилити контроль доступу до адміністративних облікових записів, що використовуються для управління MOVEit Automation (багатофакторна автентифікація, тимчасові токени, додаткові процедури підтвердження під час виконання небезпечних операцій).
Ключова дія для всіх організацій, що використовують MOVEit Automation, — у найближче вікно обслуговування встановити доступні оновлення, які усувають CVE-2026-4670 і CVE-2026-5174, та одночасно переглянути мережеву доступність backend-інтерфейсів сервісу, обмеживши їх лише строго необхідними джерелами.
