Progress Software выпустила обновления для устранения двух уязвимостей в MOVEit Automation, одна из которых — критический обход аутентификации CVE-2026-4670 (CVSS 9.8), позволяющий получить несанкционированный доступ к системе и административный контроль, а вторая — ошибка проверки входных данных CVE-2026-5174 (CVSS 7.7), ведущая к повышению привилегий. Затрагиваются серверные развертывания решения для управляемого обмена файлами в корпоративных средах, обходных путей нет, поэтому организациям необходимо как можно быстрее установить патчи, чтобы снизить риск компрометации и утечки данных.
Технические детали уязвимостей
MOVEit Automation (ранее Central) — серверное решение для управляемой передачи файлов (MFT), которое автоматизирует и планирует перемещение данных между системами без использования самописных сценариев. Это делает его высококритичным компонентом инфраструктуры: через него проходят большие объемы конфиденциальных данных и выполняются интеграционные процессы.
Уязвимости затрагивают поддерживаемые вендором версии MOVEit Automation (конкретные релизы перечислены в официальном advisory Progress, не приводятся в исходном материале). Согласно описанию вендора, оба дефекта проявляются через backend command port интерфейсы сервиса:
- CVE-2026-4670, CVSS 9.8 — критическая уязвимость обхода аутентификации. Некорректная логика проверки подлинности на серверной стороне позволяет атакующему взаимодействовать с бекенд-интерфейсом так, как будто он уже прошел аутентификацию. С точки зрения модели угроз это эквивалентно получению несанкционированного доступа к высокопривилегированному API.
- CVE-2026-5174, CVSS 7.7 — уязвимость «неправильная проверка входных данных», которая может привести к повышению привилегий. При определенных условиях некорректно обработанные параметры, поступающие в сервис, позволяют локальному или аутентифицированному пользователю расширить свои права до более высокого уровня.
В advisory Progress отдельно подчеркивается, что сочетание этих уязвимостей в бекенд-интерфейсах может привести к обходу аутентификации и последующему повышению привилегий, что в итоге дает атакующему:
- неавторизованный доступ к системе MOVEit Automation;
- доступ к данным и потенциальное их раскрытие.
Исследователи Airbus SecLab — Anaïs Gantet, Delphine Gourdou, Quentin Liddell и Matteo Ricordeau — получили официальное признание за обнаружение и ответственное раскрытие обеих уязвимостей. Вендор указывает, что работоспособных обходных путей нет: для устранения риска требуются именно обновления.
На момент публикации advisory не сообщается о подтвержденной эксплуатации указанных уязвимостей «в дикой природе». Тем не менее обе записи уже присутствуют (или будут присутствовать) в базе NVD, что позволяет отслеживать их жизненный цикл и обновления оценок риска: CVE-2026-4670 в NVD, CVE-2026-5174 в NVD.
Контекст угроз: почему именно MOVEit и MFT-системы
Системы управляемой передачи файлов, к которым относится MOVEit Automation, занимают уникальное положение: они одновременно:
- подключены к критически важным бизнес-приложениям и хранилищам данных;
- обрабатывают и перемещают чувствительные файлы (финансовые данные, персональные данные, отчеты, выгрузки из ERP/CRM);
- часто имеют широкие сетевые разрешения для доступа к внутренним и внешним системам.
Именно поэтому прошлые уязвимости в другом продукте линейки — MOVEit Transfer — уже привлекали внимание вымогателей, включая группировку Cl0p, которая эксплуатировала такие дефекты для получения доступа к данным организаций. Исходный материал прямо указывает, что ранние уязвимости в MOVEit Transfer использовались группами шифровальщиков вроде Cl0p, что показывает устойчивый интерес злоумышленников к этому вендору и классу решений.
По своей сути описанные в advisory уязвимости подпадают под технику MITRE ATT&CK Exploit Public-Facing Application (T1190), если бекенд-интерфейсы оказываются доступными из недоверенных сетей. Даже если они номинально считаются «внутренними», на практике ошибки в сегментации, VPN-доступе или настройках брандмауэра нередко делают такие порты достижимыми для атакующего после первичного проникновения в сеть.
Оценка воздействия на организации
Наибольшему риску подвергаются организации, для которых MOVEit Automation — центральный узел интеграции и обмена файлами между:
- внутренними системами (ERP, CRM, учетные системы, хранилища данных);
- внешними контрагентами и сервисами (банки, поставщики, партнеры);
- облачными платформами и дата-центрами.
Потенциальные последствия при отсутствии своевременного обновления:
- Компрометация конфиденциальных данных. MOVEit Automation работает с готовыми экспортами из бизнес-систем, часто содержащими агрегированные, структурированные и уже отфильтрованные данные — то есть особенно ценную для атакующего информацию.
- Полный контроль над системой автоматизации. Обход аутентификации плюс повышение привилегий могут позволить злоумышленнику модифицировать задачи, перенаправлять потоки данных, внедрять в цепочку вредоносные файлы или бэкдоры.
- Развитие атаки внутри инфраструктуры. Через учетные данные, ключи и подключения, хранящиеся в конфигурации MOVEit Automation, атакующий может двигаться дальше по сети, получая доступ к другим системам.
- Регуляторные и юридические риски. Поскольку MFT-системы нередко используются для обмена персональными данными и финансовой информацией, утечка через такой узел может повлечь уведомления регуляторов, штрафы и обязательную коммуникацию с клиентами и партнерами.
Даже если инсталляция MOVEit Automation формально не доступна из интернета, риск остается значимым: при компрометации любого другого узла в сети атакующий может попытаться использовать уязвимые бекенд-интерфейсы для быстрого повышения привилегий и доступа к данным.
Практические рекомендации по снижению риска
1. Немедленное обновление и приоритизация
- Определите все инстансы MOVEit Automation в инфраструктуре (включая тестовые и резервные), используя инвентарь, CMDB и сетевые сканы.
- Сопоставьте установленные версии с перечнем уязвимых, приведенным в advisory Progress (см. также записи NVD: CVE-2026-4670, CVE-2026-5174).
- Запланируйте обновление как высший приоритет для управления уязвимостями: критический дефект обхода аутентификации (CVSS 9.8) оправдывает экстренный патчинг с минимальными окнами на тестирование.
2. Ограничение сетевого доступа к backend command port
Даже с установленными патчами стоит минимизировать доступность высокопривилегированных интерфейсов:
- Выявите порты и интерфейсы, через которые осуществляется backend-доступ к MOVEit Automation (по документации продукта и фактической конфигурации).
- Ограничьте доступ к ним только административными хостами и нужными сервисами с помощью сетевых списков контроля доступа и брандмауэров.
- Исключите доступ к этим интерфейсам из сегментов для пользователей, VPN-пулов общего назначения и особенно из зон, доступных из интернета.
3. Усиление мониторинга и поиск возможных признаков эксплуатации
Поскольку нет подтвержденной информации об активной эксплуатации, целесообразно проактивно проверить журналы и телеметрию:
- Проанализируйте журналы аутентификации MOVEit Automation на предмет:
- подозрительных успешных входов с необычных источников;
- многократных попыток доступа к административным функциям;
- создания новых учетных записей с высокими правами либо изменения ролей существующих.
- Проверьте историю заданий и сценариев автоматизации на внесение неожиданных изменений, появление новых заданий или перенастройку целевых систем.
- Сопоставьте сетевые логи (firewall, прокси, системы обнаружения вторжений) с временными окнами, когда уязвимые версии были развернуты, чтобы выявить аномальное обращение к backend-интерфейсам.
4. Временные компенсирующие меры до установки патчей
Если немедленное обновление невозможно по операционным причинам, стоит применить частичные меры снижения риска, понимая, что они не заменяют исправление уязвимостей:
- По возможности временно ограничить или отключить внешние интеграции, использующие backend command port, сохранив только критически необходимые для непрерывности бизнеса.
- Перенести инстансы MOVEit Automation в максимально изолированный сетевой сегмент, минимизировав количество маршрутов и доверенных зон.
- Усилить контроль доступа к административным учетным записям, используемым для управления MOVEit Automation (многофакторная аутентификация, временные токены, дополнительные процедуры подтверждения при выполнении опасных операций).
Ключевое действие для всех организаций, использующих MOVEit Automation, — в ближайшее окно обслуживания установить доступные обновления, устраняющие CVE-2026-4670 и CVE-2026-5174, и одновременно пересмотреть сетевую доступность backend-интерфейсов сервиса, ограничив их только строго необходимыми источниками.
