Progress Software, ein führender Anbieter von Enterprise-Softwarelösungen, hat ein kritisches Sicherheitsupdate für MOVEit Automation veröffentlicht. Das Tool wird von Unternehmen weltweit für die automatisierte Verwaltung von Dateiübertragungen in komplexen IT-Umgebungen eingesetzt — ohne dass eigene Skripte programmiert werden müssen.
Die beiden identifizierten Schwachstellen stellen erhebliche Risiken dar. CVE-2026-4670 mit einem CVSS-Score von 9,8 ermöglicht es Angreifern, die Authentifizierung zu umgehen und direkt auf Backend-Command-Ports zuzugreifen. CVE-2026-5174 (CVSS 7,7) erlaubt durch mangelhafte Eingabevalidierung eine Rechteerweiterung bis zur administrativen Kontrolle. Progress warnt selbst: “Erfolgreiche Ausnutzung könnte zu unauthorisiertem Zugriff, administrativer Kontrolle und Datenschutzpannen führen.”
Die Forschungsgruppe Airbus SecLab unter der Leitung von Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau entdeckte und meldete beide Lücken verantwortungsvoll. Progress bestätigt, dass es derzeit keine bekannten Workarounds gibt — nur Updates bieten echten Schutz.
Obwohl Progress von keinen aktiven Cyberangriffen berichtet, sollten deutsche Organisationen äußerst wachsam sein. Die Historie mahnt: Die Ransomware-Gang Cl0p exploitierte frühere Sicherheitslücken in MOVEit Transfer erfolgreich und verursachte weltweit Millionenschäden. Unternehmen, die MOVEit Automation betreiben, müssen unverzüglich ihre Versionen überprüfen und Updates einspielen.
Für deutsche Betreiber kritischer Infrastrukturen, Finanzinstitute und große Konzerne könnte das BSI eine offizielle Sicherheitsmitteilung herausgeben. Im Falle von Datenabflüssen drohen zudem empfindliche DSGVO-Bußgelder bis zu vier Prozent des Jahresumsatzes sowie Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und betroffenen Personen. Der Bundesbeauftragte für Datenschutz (BfDI) überwacht Meldungen von Bundesbehörden. IT-Sicherheitsverantwortliche sollten Patches sofort nach gründlichem Testen ausrollen.