SchwachstellenHackerangriffeCloud-Sicherheit

Progress behebt kritische Sicherheitslücken in MOVEit WAF und LoadMaster

Progress behebt kritische Sicherheitslücken in MOVEit WAF und LoadMaster
Zusammenfassung

Progress Software hat mehrere kritische Sicherheitslücken in seinen Produkten MOVEit WAF und LoadMaster geschlossen, die erhebliche Risiken für betroffene Systeme darstellen. Die fünf gepatchten Schwachstellen ermöglichen es authentifizierten Angreifern, beliebige Befehle auszuführen, Betriebssystembefehle einzuspeisen und die Web Application Firewall zu umgehen. Besonders kritisch sind die Vulnerabilities CVE-2026-3517 und CVE-2026-3519, die durch mangelnde Eingabevalidierung in den APIs entstanden sind und Benutzern mit bestimmten Administrationsrechten Fernzugriff ermöglichen. Auch CVE-2026-21876 stellt eine erhebliche Bedrohung dar, da sie es Angreifern ermöglicht, bösartige Payloads in HTTP-Anfragen einzuschleusen und damit die Sicherheitsmechanismen zu umgehen. Für deutsche Unternehmen und Behörden, die diese Load-Balancing- und Firewall-Lösungen einsetzen, ist ein schnelles Einspielen der Patches essentiell. Progress hat bereits Patches für mehrere Produktversionen bereitgestellt und betont die Dringlichkeit von Updates. Obwohl bislang keine aktiven Exploits bekannt sind, sollten Administratoren sofort handeln, um ihre Systeme vor möglichen Angriffen zu schützen.

Progress Software hat fünf Sicherheitslücken in seinen ADC-Produkten (Application Delivery Controller) MOVEit WAF und LoadMaster geschlossen. Die Anfälligkeit der Systeme liegt primär in unzureichend validierter Eingabeverarbeitung begründet.

Die beiden Schwachstellen CVE-2026-3517 und CVE-2026-3519 ermöglichen es Benutzern mit den Berechtigungen „Geo Administration” bzw. „VS Administration”, über die APIs willkürliche Befehle auszuführen. Die anfälligen Kommandos sind „addcountry” und „aclcontrol”, welche Benutzereingaben nicht ausreichend bereinigen. Ein weiterer kritischer Fehler (CVE-2026-3518) betrifft das „killsession”-Kommando, das ebenfalls fehlende Eingabevalidierung aufweist und nur für Nutzer mit vollständigen Berechtigungen ausnutzbar ist.

Besonders gefährlich ist CVE-2026-4048, die in der Web-Oberfläche der ADC-Produkte auftritt. Authentifizierte Angreifer mit administrativen Berechtigungen können hier während des Datei-Upload-Prozesses für benutzerdefinierte WAF-Regeln Code injizieren, da die Eingaben unzureichend bereinigt werden.

Die fünfte Lücke, CVE-2026-21876, stellt einen Bypass der Firewall-Sicherheit dar. Das Problem liegt in der Validierungslogik für Zeichensätze bei HTTP-Multipart-Anfragen: Die Zeichensatz-Validierung wird nur auf den letzten Content-Type-Header angewendet, auch wenn die Anfrage mehrere Headers enthält. Dies ermöglicht es Angreifern, speziell konstruierte Multipart-Requests mit verschlüsselten, schädlichen Payloads einzuschleusen, die die WAF-Erkennung umgehen.

Progress hat die Patches in mehreren Versionen bereitgestellt: MOVEit WAF 7.2.63.0, LoadMaster GA 7.2.63.1, LoadMaster LTSF 7.2.54.17, ECS Connection Manager 7.2.63.1 und Connection Manager for ObjectScale 7.2.63.1. Laut Hersteller liegen derzeit keine Berichte über aktive Ausnutzung vor. Dennoch dürften Sicherheitsfachleute in deutschen Unternehmen keinen Aufschub bei der Patching-Planung gewähren, da alle Lücken zu Remote Code Execution führen können und authentifizierte Angreifer – etwa durch Phishing-Angriffe – Zugang zum System erlangen könnten.

Ähnliche Artikel