NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2023-0325

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Progress MOVEit Transfer
Advisory ID     : NCSC-2023-0325
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-36932, CVE-2023-36933, CVE-2023-36934
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Manipulatie van gegevens
                  SQL Injection
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20230706
Toepassing      : Progress Software Corp MOVEit Transfer
Versie(s)       : < 2020.1.11
                  < 2021.0.9
                  < 2021.1.7
                  < 2022.0.7
                  < 2022.1.8
                  < 2023.0.4
Platform(s)     :

Beschrijving
   Progress heeft kwetsbaarheden verholpen in MOVEit Transfer. Een
   ongeauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om
   middels een SQL-injection toegang te krijgen tot gegevens in de
   MOVEit Transfer database.

   De gevonden kwetsbaarheden zijn mogelijk gerelateerd aan de eerder
   ontdekte en actief misbruikte kwetsbaarheden waarvoor het NCSC
   beveiligingsadviezen NCSC-2023-0268 en NCSC-2023-0299 heeft
   uitgebracht. Progress verwijst in hun handelingsperspectieven
   namelijk expliciet terug naar deze kwetsbaarheden en de eerder
   uitgebrachte incident-report en advisory.

   Progress geeft de kwetsbaarheid met kenmerk CVE-2023-36934 de
   classificatie 'Critical'.

   Er zijn geen indicaties dat deze kwetsbaarheden actief worden
   misbruikt. Echter door de media-aandacht voor de eerder gevonden
   actief misbruikte kwetsbaarheden, is het waarschijnlijk dat op korte
   termijn Proof-of-Concept-code kan worden verwacht.

Mogelijke oplossingen
   Progress heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in alle ondersteunde versies van MOVEit in de vorm van Service
   Packs. Dit zal voor Progress in de toekomst de standaard wijze van
   updates blijven. Voor meer informatie, zie:

   https://community.progress.com/s/article
      /MOVEit-Transfer-2020-1-Service-Pack-July-2023

   Deze specifieke eerste Service Pack is nog gerelateerd aan de reeds
   bekende kwetsbaarheden en de daarbij behorende advisory van
   Progress. Progress adviseert om, indien dit nog niet is uitgevoerd,
   eerst alle acties te ondernemen zoals beschreven in onderstaande
   advisory. Deze advisory is door NCSC beschreven in de eerder
   uitgebrachte beveiligingsadviezen NCSC-2023-0268 en NCSC-2023-0299

   https://community.progress.com/s/article
      /MOVEit-Transfer-Critical-Vulnerability-31May2023

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=PsY4
-----END PGP SIGNATURE-----