Krytyczne luki w MOVEit Automation mogą umożliwić pełne przejęcie systemu - Security Bez Tabu

Krytyczne luki w MOVEit Automation mogą umożliwić pełne przejęcie systemu

Cybersecurity news

Wprowadzenie do problemu / definicja

Progress Software usunął dwie istotne podatności w rozwiązaniu MOVEit Automation, platformie klasy Managed File Transfer wykorzystywanej do bezpiecznej i zautomatyzowanej wymiany plików między systemami, aplikacjami oraz partnerami biznesowymi. Zestaw wykrytych błędów obejmuje obejście uwierzytelniania oraz eskalację uprawnień, co w praktyce może prowadzić do nieautoryzowanego dostępu, przejęcia kontroli administracyjnej i narażenia przetwarzanych danych.

Ze względu na rolę, jaką systemy MFT pełnią w środowiskach korporacyjnych, każda podatność w tej klasie oprogramowania powinna być traktowana priorytetowo. MOVEit Automation często działa jako kluczowy element integracyjny, obsługując transfery plików, harmonogramy zadań i połączenia z systemami wewnętrznymi oraz zewnętrznymi.

W skrócie

Najpoważniejsza luka została oznaczona jako CVE-2026-4670 i dotyczy obejścia uwierzytelniania. Druga podatność, CVE-2026-5174, umożliwia eskalację uprawnień. Połączenie obu błędów tworzy scenariusz wysokiego ryzyka, w którym atakujący może najpierw uzyskać dostęp do systemu, a następnie rozszerzyć swoje uprawnienia do poziomu administracyjnego.

  • CVE-2026-4670: obejście uwierzytelniania w backendowych interfejsach portu poleceń usługi.
  • CVE-2026-5174: eskalacja uprawnień mogąca prowadzić do przejęcia funkcji administracyjnych.
  • Dotknięte są wybrane wersje linii 2025.1, 2025.0 i 2024.1.
  • Producent nie udostępnił obejść tymczasowych, dlatego kluczowe znaczenie ma szybkie wdrożenie poprawek.

Kontekst / historia

Rodzina MOVEit jest dobrze znana w segmencie zarządzanego transferu plików i szeroko stosowana w przedsiębiorstwach, administracji publicznej oraz sektorach regulowanych. Takie platformy zwykle obsługują pliki zawierające dane finansowe, kadrowe, medyczne, logistyczne lub integracyjne, dlatego ich kompromitacja może mieć poważne skutki operacyjne i prawne.

W ostatnich latach systemy MFT wielokrotnie znajdowały się w centrum zainteresowania cyberprzestępców. Głośne kampanie ataków pokazały, że pojedyncza luka w tego typu rozwiązaniu może zostać wykorzystana do masowej kradzieży danych i objąć wiele organizacji jednocześnie. Z tego powodu nowe podatności w MOVEit Automation należy oceniać nie tylko przez pryzmat techniczny, ale również w kontekście potencjalnego wpływu biznesowego.

Analiza techniczna

CVE-2026-4670 to podatność typu authentication bypass. Zgodnie z opisem problem dotyczy backendowych interfejsów portu poleceń usługi. Tego rodzaju błąd może pozwolić napastnikowi ominąć standardowy proces logowania i uzyskać dostęp bez prawidłowego uwierzytelnienia, co znacząco obniża próg wejścia do dalszej kompromitacji.

Druga luka, CVE-2026-5174, dotyczy eskalacji uprawnień. W praktyce oznacza to możliwość przejścia z ograniczonego poziomu dostępu do szerszych uprawnień, potencjalnie aż do pełnej administracji nad systemem. Gdy oba błędy zostaną wykorzystane łącznie, atakujący może nie tylko wejść do środowiska, ale także przejąć kontrolę nad jego najważniejszymi funkcjami.

Szczególnie niebezpieczne jest to, że MOVEit Automation odpowiada za automatyzację transferów, orkiestrację przepływów plików oraz integrację z innymi usługami. Kompromitacja takiego serwera może umożliwić:

  • dostęp do plików przesyłanych między systemami,
  • manipulację zadaniami automatyzacji i harmonogramami,
  • przejęcie poświadczeń używanych do połączeń z innymi usługami,
  • modyfikację reguł transferowych i workflow,
  • wykorzystanie serwera jako punktu wyjścia do dalszego ruchu lateralnego.

Według dostępnych informacji podatności dotyczą co najmniej następujących wersji:

  • MOVEit Automation 2025.1.4 i starszych w tej linii,
  • MOVEit Automation 2025.0.8 i starszych w tej linii,
  • MOVEit Automation 2024.1.7 i starszych w tej linii.

Luki zostały zgłoszone przez badaczy z Airbus SecLab. Brak obejść tymczasowych oznacza, że organizacje nie mogą polegać na prostych zmianach konfiguracyjnych jako trwałym środku ochronnym i powinny potraktować aktualizację jako działanie pilne.

Konsekwencje / ryzyko

Ryzyko związane z omawianymi błędami należy uznać za wysokie. Serwery MFT często znajdują się na styku różnych domen zaufania i obsługują wrażliwe procesy wymiany danych. Ich przejęcie może skutkować zarówno incydentem poufności, jak i naruszeniem integralności oraz dostępności usług.

Najważniejsze konsekwencje obejmują:

  • nieautoryzowany dostęp do plików w tranzycie i spoczynku,
  • przejęcie funkcji administracyjnych lub kont uprzywilejowanych,
  • wyciek danych wrażliwych i danych osobowych,
  • sabotaż procesów automatyzacji i zakłócenie wymiany danych,
  • wykorzystanie środowiska do dalszych ataków na sieć wewnętrzną,
  • wzrost ryzyka kampanii ransomware i wymuszeń opartych na kradzieży danych.

Ze względu na historię ataków na rozwiązania do transferu plików należy zakładać, że podatności tego typu mogą szybko zostać uzbrojone w działające exploity. Jeśli usługa jest dostępna z Internetu lub serwer MFT nie został odpowiednio odseparowany od systemów krytycznych, potencjalna skala incydentu znacząco rośnie.

Rekomendacje

Organizacje korzystające z MOVEit Automation powinny niezwłocznie przeprowadzić inwentaryzację instancji i ustalić, czy pracują one na podatnych wersjach. Następnie należy wdrożyć poprawki producenta w trybie pilnym, ponieważ brak obejść tymczasowych ogranicza możliwości redukcji ryzyka bez aktualizacji.

Dodatkowe działania operacyjne powinny obejmować:

  • ograniczenie ekspozycji usługi do Internetu wyłącznie do niezbędnych interfejsów,
  • weryfikację segmentacji sieciowej i odseparowanie serwera MFT od systemów krytycznych,
  • przegląd kont uprzywilejowanych oraz poświadczeń używanych przez zadania automatyzacji,
  • monitorowanie logów pod kątem nietypowych prób dostępu, zmian konfiguracji i uruchomień zadań poza harmonogramem,
  • analizę integralności workflow, skryptów, konektorów i reguł transferowych,
  • reset lub wymianę poświadczeń używanych przez integracje, jeśli istnieje podejrzenie kompromitacji,
  • wdrożenie dodatkowych reguł detekcji w SIEM i EDR dla serwerów obsługujących MFT,
  • sprawdzenie, czy nie doszło do nieautoryzowanego tworzenia kont, zmian uprawnień lub modyfikacji usług backendowych.

W środowiskach o wysokiej krytyczności warto dodatkowo przeprowadzić retrospektywny przegląd artefaktów z ostatnich tygodni, w tym logów uwierzytelniania, połączeń sieciowych i historii zmian administracyjnych. Jeśli serwer MOVEit Automation uczestniczy w przetwarzaniu danych wrażliwych, zasadne może być uruchomienie pełnej procedury incident response.

Podsumowanie

Nowe podatności w MOVEit Automation pokazują, że platformy zarządzanego transferu plików nadal pozostają atrakcyjnym celem dla atakujących. Zestawienie obejścia uwierzytelniania z eskalacją uprawnień tworzy scenariusz, w którym pojedynczy łańcuch ataku może doprowadzić do pełnego przejęcia systemu oraz kompromitacji danych biznesowych.

Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego patchowania, weryfikacji ekspozycji usług oraz aktywnego monitorowania oznak nadużyć. W przypadku systemów MFT opóźnienie działań obronnych może mieć nieproporcjonalnie duże skutki dla ciągłości działania i zgodności regulacyjnej.

Źródła

  1. Security Affairs — https://securityaffairs.com/191681/security/moveit-automation-flaws-could-enable-full-system-compromise.html
  2. Progress Community Advisory — https://community.progress.com/s/article/MOVEit-Automation-Service-Port-Vulnerabilities
  3. NVD: CVE-2026-4670 — https://nvd.nist.gov/vuln/detail/CVE-2026-4670
  4. NVD: CVE-2026-5174 — https://nvd.nist.gov/vuln/detail/CVE-2026-5174
  5. Progress MOVEit Automation Datasheet — https://www.progress.com/docs/default-source/data-sheets/ds-moveit-automation-datasheet.pdf