-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Progress MOVEit Transfer Advisory ID : NCSC-2023-0325 Versie : 1.00 Kans : medium CVE ID : CVE-2023-36932, CVE-2023-36933, CVE-2023-36934 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Manipulatie van gegevens SQL Injection Toegang tot gevoelige gegevens Uitgiftedatum : 20230706 Toepassing : Progress Software Corp MOVEit Transfer Versie(s) : < 2020.1.11 < 2021.0.9 < 2021.1.7 < 2022.0.7 < 2022.1.8 < 2023.0.4 Platform(s) : Beschrijving Progress heeft kwetsbaarheden verholpen in MOVEit Transfer. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheden misbruiken om middels een SQL-injection toegang te krijgen tot gegevens in de MOVEit Transfer database. De gevonden kwetsbaarheden zijn mogelijk gerelateerd aan de eerder ontdekte en actief misbruikte kwetsbaarheden waarvoor het NCSC beveiligingsadviezen NCSC-2023-0268 en NCSC-2023-0299 heeft uitgebracht. Progress verwijst in hun handelingsperspectieven namelijk expliciet terug naar deze kwetsbaarheden en de eerder uitgebrachte incident-report en advisory. Progress geeft de kwetsbaarheid met kenmerk CVE-2023-36934 de classificatie 'Critical'. Er zijn geen indicaties dat deze kwetsbaarheden actief worden misbruikt. Echter door de media-aandacht voor de eerder gevonden actief misbruikte kwetsbaarheden, is het waarschijnlijk dat op korte termijn Proof-of-Concept-code kan worden verwacht. Mogelijke oplossingen Progress heeft updates uitgebracht om de kwetsbaarheden te verhelpen in alle ondersteunde versies van MOVEit in de vorm van Service Packs. Dit zal voor Progress in de toekomst de standaard wijze van updates blijven. Voor meer informatie, zie: https://community.progress.com/s/article /MOVEit-Transfer-2020-1-Service-Pack-July-2023 Deze specifieke eerste Service Pack is nog gerelateerd aan de reeds bekende kwetsbaarheden en de daarbij behorende advisory van Progress. Progress adviseert om, indien dit nog niet is uitgevoerd, eerst alle acties te ondernemen zoals beschreven in onderstaande advisory. Deze advisory is door NCSC beschreven in de eerder uitgebrachte beveiligingsadviezen NCSC-2023-0268 en NCSC-2023-0299 https://community.progress.com/s/article /MOVEit-Transfer-Critical-Vulnerability-31May2023 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBZKZiYf4Vd0fJc7lbAQqTnQwAukR0T9+TpPhtNH11uxXXKrIGNTKtqUg2 OnuUImHBmxINNDofQejDmw4t3AAzq3a8V5VM/+6QPkOsgSm5d9P9wP2Wkr3ehTLu TTzRWnqvfRDUZu+lHyqdZ3L+ju9t6O2sBp+NwrNnNPCFDbMYAL+egAgZHYeNP3Jc nzqAdJOnbLUeypWFaPNlkKwMwuh9oAgXk3EkHj085Ez4B5uz/qjrLO3gwSVWQcLf jOYvaQ+fkiMIbD5XtQAOC6ABeH1qZFZz343A1iRshjNGhuC0juIXFPqnoFTzlcEZ Ut2a9tLD0E+GnNuFqJIbN9TWbkCbNUVHC/ZnABPCzNzsZIXD20yV7qkUCEEG1Bnj ml9OHNHaD/SwjGLzbPZEWfPZj/REN0Xbgohxmc29blQ3o1s8XcwKrkMQjyCwquDL 6MnO425zuIbiE3iGpLvC1BO6EJS11Dtxa/PO+KNEAKoE3CHUaCyJzhFUyAvBMIL7 lrhB1kG/WHzJkYJG9sT99QxpLTsMNYrF =PsY4 -----END PGP SIGNATURE-----