Progress patcht kritieke kwetsbaarheden in MOVEit Automation

In dit artikel:

Progress heeft twee ernstige kwetsbaarheden in MOVEit Automation dichtgetimmerd: CVE-2026-4670 (authenticatieomzeiling, CVSS 9,8) en CVE-2026-5174 (privilege-escalatie, CVSS 7,7). In combinatie maken ze het mogelijk dat een aanvaller zonder geldige inloggegevens via backend command‑portinterfaces het systeem binnendringt en vervolgens door onvoldoende invoervalidatie beheerdersrechten verkrijgt, met risico op volledige controle en datalekken.

De fouten zijn ontdekt door onderzoekers van Airbus SecLab (Anaïs Gantet, Delphine Gourdou, Quentin Liddell en Matteo Ricordeau). Getroffen releases zijn MOVEit Automation 2025.1.4 en ouder, 2025.0.8 en ouder, en 2024.1.7 en ouder. Volgens Bleeping Computer zijn meer dan 1.400 MOVEit Automation-instances publiek bereikbaar; er zijn vooralsnog geen bevestigde exploits in het wild gemeld.

Progress geeft aan dat er geen werkbare mitigaties bestaan: de enige oplossing is een upgrade via het volledige installatieprogramma, wat tijdens de update een onderbreking van de service veroorzaakt. De gepatchte versies zijn 2025.1.5, 2025.0.9 en 2024.1.8. Organisaties met een onderhoudscontract kunnen de updates downloaden via het Progress Community-portaal.

Beheerders kunnen hun huidige versie controleren in MOVEit Automation Web Admin via Help → About. Gezien MOVEit eerder al doelwit was van grootschalige aanvallen (zoals de Clop-ransomwarecampagne in 2023) is het dringend aanbevolen snel te updaten en publieke exposure van systemen te beperken totdat gepatcht is.