MOVEit Transfer

Die Schwachstelle steckt in der Web-Anwendung von Progress MOVEit Transfer, einer Software für den verwalteten und abgesicherten Dateiaustausch. Es handelt sich um eine SQL-Injection: Über manipulierte Eingaben an die Webanwendung kann ein Angreifer eigene Datenbankbefehle in die Abfragen einschleusen, die das Programm an seine Datenbank stellt. Ausnutzen lässt sich das aus der Ferne und ohne vorherige Anmeldung, sodass ein unauthentifizierter Angreifer unmittelbar Zugriff auf die hinterlegte Datenbank erlangt. Je nach eingesetztem Datenbanksystem – MySQL, Microsoft SQL Server oder Azure SQL – kann er Rückschlüsse auf Aufbau und Inhalt der Datenbank ziehen sowie SQL-Anweisungen ausführen, die Datenbankelemente verändern oder löschen. Damit sind sowohl das Auslesen vertraulicher Daten als auch das Manipulieren oder Zerstören gespeicherter Informationen möglich. Betroffen ist die Webschnittstelle der Anwendung, weshalb aus dem Internet erreichbare Installationen unmittelbar angreifbar sind.