Die kritische Sicherheitslücke in der Datenübertragungssoftware MOVEit betrifft derzeit Organisationen weltweit, aus mehr als 40 Ländern – ein Großteil in den USA. Hierzulande sind mehr als 100 Unternehmen potenziell betroffen, Tendenz steigend. Dass es zu Datenabflüssen gekommen ist, hatte das Bundesamt für Sicherheit in der Informationstechnik bereits bestätigt. Die US-amerikanische Cyber-Sicherheitsbehörde CISA und die britische Cybersicherheitsbehörde warnen ebenfalls vor der Lücke. MOVEit wird nach Angaben des Unternehmens "im Gesundheits- und Versicherungswesen, im Finanzdienstsektor und von der Pharmaindustrie zur Erfüllung ihrer Datenintegritäts-, Prüf- und Datenschutzverpflichtungen verwendet".

Lesen Sie auch Jetzt patchen! Angreifer leiten Daten über MOVEit-Transfer-Sicherheitslücke aus heise Security

Bereits seit dem 27. Mai gibt es Hinweise auf eine Ausnutzung der Sicherheitslücke, wie aus einer Analyse des Sicherheitsunternehmens Mandiant hervorgeht. Wie viele Unternehmen und Behörden derzeit mögliche Datenabflüsse über die MOVEit-Sicherheitslücke prüfen, ist unklar. Manche Unternehmen wollten sich dazu nicht äußern, weitere Anfragen sind derzeit ausstehend.

AOK analysiert Systeme noch

Verschiedene AOKs hatten ihre Versicherten bereits vergangenen Freitag darüber informiert, dass derzeit die AOKs Baden-Württemberg, Bayern, Bremen/Bremerhaven, Hessen, Niedersachsen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt und PLUS sowie der AOK-Bundesverband prüfen, "ob die Sicherheitslücke einen Zugriff auf die Sozialdaten von Versicherten ermöglicht hat". Die Schwachstelle habe einen "nicht autorisierten Zugriff auf die von der AOK eingesetzte Software 'MOVEit Transfer' ermöglicht". Bisher gebe es noch keine Hinweise auf einen Abfluss von Sozialdaten, allerdings sei die Analyse auch noch nicht abgeschlossen, worauf der AOK Bundesverband in einer Pressemitteilung hinweist.

Die betroffenen Partner – Leistungserbringer und Sozialversicherungsträger wie die Agentur für Arbeit – werden der AOK zufolge informiert. Inzwischen ist der Datenaustausch zwischen externen Partnern und mehreren AOKs wieder möglich. Vorsorglich waren zunächst alle möglicherweise betroffenen Systeme abgeschaltet und Maßnahmen zur Sicherung der Daten eingeleitet worden. "Alle externen Verbindungen der AOK, die auf dem Datenaustausch-System basieren" waren dabei zur Sicherheit getrennt worden, laufen inzwischen aber wieder.

Bei einem kürzlich von einem Cyber-Vorfall betroffenen IT-Dienstleister für Krankenkassen, Bitmarck, sei die Software nicht im Einsatz. Das Unternehmen habe jedoch nach eigenen Angaben vorsichtshalber zum gemeinsamen Datenaustausch genutzte Accounts gesperrt und neue Passwörter vergeben. Doch nicht nur die AOKs müssen aktuell ebenfalls ihre Systeme scannen und bei bestätigtem Datenabfluss Betroffene informieren.

MOVEit Transfer: Mehr als 2.500 potenziell verwundbare Systeme

Basierend auf einer vom Shodan-Projekt vorgeschlagenen Suche nach dem typischen Favicon von MOVEit-Instanzen waren am 6. Juni 2023 mehr als 2.500 potenziell verwundbare Systeme im Netz erreichbar. Davon standen 73,2 Prozent in den USA, 5 Prozent im Vereinigten Königreich sowie an dritter Stelle 4,4 Prozent in Deutschland.

Mit der Suche nach dem Favicon typischer MOVEit-Installationen in der Shodan-Datenbank finden sich mehr als 2.500 im Internet erreichbare, potenziell verwundbare Systeme. (Bild: Shodan)

Im Vereinigten Königreich befinden sich unter den Betroffenen der öffentlich-rechtliche Sender BBC, die British Airways und auch der Lohn- und Gehaltsabrechnungsdienstleister Zellis, wie die BBC berichtet. Bei Letzterem wurden die Daten von acht Kundenfirmen gestohlen. An die betroffenen Mitarbeiter und Mitarbeiterinnen gehen derzeit Warnungen raus. Auch die BBC warnt ihre Mitarbeiter, dass Personalausweisnummern, Geburtsdaten, Privatadressen und Sozialversicherungsnummern gestohlen wurden. Bei Angestellten der British Airways wurden möglicherweise Bankdaten gestohlen.

Microsoft vermutet derzeit, dass die verantwortlichen Kriminellen mit der bekannten Clop-Ransomware-Gruppe in Verbindung stehen. Der US-Konzern teilte in einem Blogbeitrag mit, dass er die Angriffe Lace Tempest zuschreibt. Die Cybergang sei für Ransomware-Operationen bekannt und betreibe die Clop-Erpressungswebsite, auf der sie Daten von Opfern veröffentliche. Das Unternehmen sagte, die verantwortlichen Hacker hätten in der Vergangenheit ähnliche Techniken verwendet, um Daten zu stehlen und Opfer zu erpressen. Bisher gibt es noch keine Lösegeldforderungen, allerdings erwarten Sicherheitsexperten diese noch.

Admins: Bewegt euch!

Viele betroffene Unternehmen hätten die Sicherheitslücke bisher noch nicht gefixt, sagte der IT-Sicherheitsforscher Kevin Beaumont gegenüber der BBC. Die Sicherheitslücke vom Typ SQL Injection hat inzwischen den CVE-Eintrag CVE-2023-34362 erhalten, allerdings ohne konkreten CVSS-Wert. Die Lücke gilt als kritisch, erlaubt sie doch unauthentifizierten Angreifern aus dem Netz den Zugriff auf die MOVEit-Transfer-Datenbank.

Der Hersteller hat Updates bereitgestellt, die die Sicherheitslücke abdichten. Sie sind in der aktualisierten Sicherheitswarnung verlinkt. Die Versionen MOVEit Transfer 2023.0.1, 2022.1.5, 2022.0.4, 2021.1.4 sowie 2021.0.6 enthalten den Fehler nicht mehr. Für MOVEit Transfer 2020.1.x ist ein gesonderter Hotfix verfügbar. Ältere Versionen müssen IT-Verantwortliche auf eine unterstützte Software-Version migrieren.

Neben den Links stellt die Sicherheitswarnung auch temporäre Gegenmaßnahmen vor, sollten Administratoren die Updates noch nicht installieren können. Zudem helfen weitere Best-Practices-Tipps, die eigene Instanz besser abzusichern.

MOVEit fällt laut dem Sicherheitsexpertem Martin Tschirsich bereits seit Jahren immer wieder durch SQL-Injections auf. Durch den Einsatz verschiedener Tools zum Scannen nach Sicherheitsrisiken und Einleiten entsprechender Maßnahmen dürften derartige Schwachstellen heutzutage nicht mehr vorkommen.

(mack)