Thought Leadership
Progress warnt vor der Sicherheitslücke CVE-2026-4670 in MOVEit Automation. Hacker können die Authentifizierung komplett umgehen.
Der Softwareentwickler Progress hat eine dringende Sicherheitswarnung für seine Dateitransfer-Lösung MOVEit Automation veröffentlicht. Eine kritische Schwachstelle ermöglicht es unbefugten Akteuren, die gesamte Authentifizierung des Systems zu umgehen. Da MOVEit Automation weltweit von Konzernen und Behörden für den automatisierten Austausch sensibler Daten zwischen internen Systemen, externen Partnern und Cloud-Plattformen genutzt wird, stufen Experten das Risiko als sehr hoch ein. Ein erfolgreicher Angriff könnte zum vollständigen Zugriff auf vertrauliche Unternehmensressourcen führen, ohne dass der Angreifer über gültige Zugangsdaten verfügen muss.
Umgehung der Anmeldesicherheit durch CVE-2026-4670
Die primäre Schwachstelle wird unter der Kennung CVE-2026-4670 geführt. Technisch ermöglicht sie es einem nicht autorisierten Dritten, die Identitätsprüfung des Servers zu überbrücken. In der Praxis bedeutet dies, dass Angreifer Zugriff auf die Verwaltungsfunktionen und die damit verknüpften Dateitransfer-Workflows erhalten können, ohne jemals einen Benutzernamen oder ein Passwort eingeben zu müssen.
MOVEit Automation dient in vielen Unternehmen als zentrale Schaltstelle für den Datenverkehr. Das Programm automatisiert den Austausch von Dateien über Protokolle wie FTP, SFTP, S3 oder über Netzwerklaufwerke. Durch die Umgehung der Authentifizierung sind nicht nur die lokal gespeicherten Dateien gefährdet, sondern potenziell alle angebundenen Endpunkte, für die der MOVEit-Server Berechtigungen besitzt. Betroffen sind alle Versionen der Software, die vor den aktuellen Sicherheits-Releases veröffentlicht wurden.
Eskalation von Zugriffsrechten durch CVE-2026-5174
Zusätzlich zur Login-Umgehung hat Progress eine zweite Schwachstelle identifiziert, die als CVE-2026-5174 dokumentiert wird. Hierbei handelt es sich um eine sogenannte Schwachstelle zur Privilegieneskalation (Privilege Escalation). Sollte ein Angreifer, etwa durch die erste Lücke oder durch kompromittierte Basiskonten, bereits Zugang zum System haben, erlaubt ihm dieser Fehler, seine Berechtigungen innerhalb der Anwendung massiv auszuweiten.
Ein Hacker mit eingeschränkten Rechten könnte so administrative Befugnisse erlangen. Dies ist besonders kritisch, da Administratoren in MOVEit Automation neue Aufgaben (Tasks) erstellen, bestehende Skripte ändern und Zugangsdaten für Drittsysteme einsehen können. Die Kombination beider Schwachstellen bietet kriminellen Akteuren eine effektive Kette, um zunächst lautlos in das System einzudringen und anschließend die volle Kontrolle über die automatisierte Datenlogistik eines Unternehmens zu übernehmen.
Identifizierung der betroffenen Software-Versionen
Progress Software hat klargestellt, dass die Sicherheitslücken in älteren Produktzyklen präsent sind. Administratoren müssen prüfen, ob ihre Installationen zu den gefährdeten Versionen gehören. Konkret betroffen sind alle Versionen von MOVEit Automation vor den folgenden Patch-Ständen:
- 2025.1.5
- 2025.0.9
- 2024.1.8
Das Unternehmen betont, dass es keine alternativen Schutzmaßnahmen oder Workarounds gibt, die einen vergleichbaren Schutz bieten wie das vollständige Update. Die Schwachstellen sind tief in der Architektur der Authentifizierungsmodule verankert, weshalb nur der Austausch der betroffenen Komponenten durch das offizielle Update-Paket die Sicherheit wiederherstellen kann.
Notwendigkeit eines sofortigen System-Updates
Der Softwarehersteller empfiehlt allen Kunden dringend ein sofortiges Upgrade auf die jeweils aktuellste, gepatchte Version. Progress weist darauf hin, dass für die Durchführung des Upgrades der volle Installer verwendet werden muss. Ein einfaches Einspielen kleinerer Hotfixes reicht in diesem Fall nicht aus, um die Integrität des Systems zu garantieren.
Organisationen müssen bei der Planung des Updates berücksichtigen, dass der Vorgang mit einer Systemunterbrechung (Outage) verbunden ist. Da MOVEit Automation oft geschäftskritische Prozesse steuert, wie etwa den nächtlichen Abgleich von Bankdaten oder den Austausch von Bestelldaten in der Lieferkette, müssen Wartungsfenster koordiniert werden. Progress warnt jedoch davor, das Update aufgrund operationaler Bedenken aufzuschieben, da das Risiko einer Kompromittierung durch die nun öffentlich bekannten Schwachstellen als unmittelbar eingestuft wird.
Erbe der Cl0p-Angriffe
Die aktuelle Warnung weckt in der Sicherheits-Community Erinnerungen an den Vorfall vom Mai 2023. Damals wurde eine Zero-Day-Lücke in einem verwandten Produkt, MOVEit Transfer, durch die Ransomware-Gruppe Cl0p ausgenutzt. Dieser Angriff gilt als einer der größten Cybervorfälle der letzten Jahre. Mittels einer SQL-Injection gelang es den Angreifern damals, die Datenbanken von über 2.700 Organisationen zu infiltrieren.
Laut Daten des Sicherheitsunternehmens Emsisoft waren von dem damaligen Vorfall etwa 96 Millionen Menschen indirekt betroffen. Zu den Opfern gehörten namhafte Institutionen und Weltkonzerne wie die ING Bank, Shell, Siemens Energy, Sony, TomTom und CCleaner. Während es sich 2023 um das webbasierte Transfer-Modul handelte, betrifft die aktuelle Meldung das Automatisierungs-Modul. Dennoch zeigt die Historie, dass MOVEit-Produkte aufgrund ihrer zentralen Rolle im Datenhandling ein bevorzugtes Ziel für professionelle Hacker-Gruppen darstellen.
Aufgaben-Logs überprüfen
Zusätzlich zum Patching sollten Unternehmen ihre Systeme auf Anzeichen einer bereits erfolgten Ausnutzung untersuchen. Da CVE-2026-4670 eine Authentifizierungsumgehung ermöglicht, sollten die Log-Dateien des MOVEit Automation Servers kritisch auf ungewöhnliche Zugriffszeiten oder Anmeldungen von unbekannten IP-Adressen geprüft werden. Besondere Aufmerksamkeit gilt dabei den Aufgaben-Logs: Unerwartete Änderungen an bestehenden Transfer-Aufgaben oder neu erstellte Skripte können ein Hinweis darauf sein, dass bereits eine Privilegieneskalation stattgefunden hat.
Da MOVEit-Server oft direkt über das Internet erreichbar sind, um externe Partner anzubinden, ist die Angriffsfläche erheblich. Eine Beschränkung des Zugriffs auf die Administrations-Schnittstellen per Firewall auf vertrauenswürdige IP-Bereiche (Whitelisting) wird als flankierende Maßnahme empfohlen, ersetzt jedoch nicht das notwendige Software-Update.
