-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.02 #############################
Titel : Kwetsbaarheid verholpen in MOVEit Transfer
Advisory ID : NCSC-2023-0299
Versie : 1.02
Kans : high
CVE ID :
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Toegang tot gevoelige gegevens
Verhoogde gebruikersrechten
Uitgiftedatum : 20230616
Toepassing : Progress MOVEit Transfer
Versie(s) : < 2023.0.3
< 2022.1.7
< 2022.0.6
< 2021.1.6
< 2021.0.8
< 2020.1.10
Platform(s) :
Update
Progress heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
Deze updates zijn opvolgend aan de updates zoals beschreven in NCSC
beveiligingsadvies NCSC-2023-0268 welke ook ingezet moeten worden om
volledig up-to-date te zijn. Zie "Mogelijke oplossingen" voor meer
informatie.
Beschrijving
Progress heeft in een blogpost aangegeven dat er wederom een
kwetsbaarheid is gevonden in MOVEit Transfer. De kwetsbaarheid stelt
een ongeauthenticeerde kwaadwillende op afstand in staat verhoogde
rechten te verkrijgen of gevoelige gegevens te bemachtigen. Aan de
kwetsbaarheid is (nog) geen CVE-kenmerk toegewezen of verder
inhoudelijke informatie bekend gesteld. Wel heeft Progress updates
uitgebracht om de kwetsbaarheid te verhelpen.
Progress heeft ten tijde van schrijven geen verdere technische
details over de kwetsbaarheid gedeeld, maar adviseert organisaties
die gebruik maken van MOVEit Transfer om HTTP en HTTPS verkeer naar
het MOVEit systeem te blokkeren tot de update is ingezet om de
kwetbaarheid te verhelpen.
Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en
werkt dit beveiligingsadvies bij wanneer er nieuwe informatie
beschikbaar komt.
Mogelijke oplossingen
Progress heeft updates uitgebracht om de kwetsbaarheid te verhelpen
in MOVEit Transfer 2023.0.3, 2022.1.7, 2022.0.6, 2021.1.6, 2021.0.8
en 2020.1.10. Voor meer informatie, zie:
https://community.progress.com/s/article
/MOVEit-Transfer-Critical-Vulnerability-15June2023
Deze updates zijn in combinatie met de updates waarvoor het NCSC
eerder de beveiligingsadvies NCSC-2023-0268 heeft gepubliceerd.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
wsDVAwUBZIwd5v4Vd0fJc7lbAQr5+wv/Y4FKjLsf9NT8c4MJJiYfLxqrgEvP2ZwU
7oTzFwIrB55E1UbLRGR3OwQyo4MYmR0ngId7tGn7bo9vmVfpEqrcg6vWXnQRGpJE
A64BTPbEOqTIWw/7oZnYNB1eb1JqRvyHxgiBC6DLOG2RQzaVROMpBIChLlIlR2Vt
99t1NyMjHxswywz1eGK0lrcFPkCROC8lgvyICvygzpYJ2xqudwxSpShkmK07NLYJ
xKR3hjHmGHWE/Qs8pyo9FP9eLe57haqI5GRer5pHPcT9hhT19l5AlSBciWqIeyiA
qMQH7iujy0i54A6MKaPnP7kx4SW/9N/6uHnSZRMp9tnJ2Ye+ZR/otjRFHhQhY91P
mKp0lASTIKK+BkLBqQkwXIsy7yj2hPGWAajwum9NihinU6RmaknR9QeW30MQYDQe
GFL/T/jyxyhs091Pu443Izc9ZzVZGwiz3Zi1XCzgMXD+z8ioOcAe6GvAFIbfskdu
e9tKdK6puYt1+zIWNQOb2q6TT/X6mmNV
=/B8B
-----END PGP SIGNATURE-----
