-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.02 ############################# Titel : Kwetsbaarheid verholpen in MOVEit Transfer Advisory ID : NCSC-2023-0299 Versie : 1.02 Kans : high CVE ID : (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Toegang tot gevoelige gegevens Verhoogde gebruikersrechten Uitgiftedatum : 20230616 Toepassing : Progress MOVEit Transfer Versie(s) : < 2023.0.3 < 2022.1.7 < 2022.0.6 < 2021.1.6 < 2021.0.8 < 2020.1.10 Platform(s) : Update Progress heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Deze updates zijn opvolgend aan de updates zoals beschreven in NCSC beveiligingsadvies NCSC-2023-0268 welke ook ingezet moeten worden om volledig up-to-date te zijn. Zie "Mogelijke oplossingen" voor meer informatie. Beschrijving Progress heeft in een blogpost aangegeven dat er wederom een kwetsbaarheid is gevonden in MOVEit Transfer. De kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand in staat verhoogde rechten te verkrijgen of gevoelige gegevens te bemachtigen. Aan de kwetsbaarheid is (nog) geen CVE-kenmerk toegewezen of verder inhoudelijke informatie bekend gesteld. Wel heeft Progress updates uitgebracht om de kwetsbaarheid te verhelpen. Progress heeft ten tijde van schrijven geen verdere technische details over de kwetsbaarheid gedeeld, maar adviseert organisaties die gebruik maken van MOVEit Transfer om HTTP en HTTPS verkeer naar het MOVEit systeem te blokkeren tot de update is ingezet om de kwetbaarheid te verhelpen. Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en werkt dit beveiligingsadvies bij wanneer er nieuwe informatie beschikbaar komt. Mogelijke oplossingen Progress heeft updates uitgebracht om de kwetsbaarheid te verhelpen in MOVEit Transfer 2023.0.3, 2022.1.7, 2022.0.6, 2021.1.6, 2021.0.8 en 2020.1.10. Voor meer informatie, zie: https://community.progress.com/s/article /MOVEit-Transfer-Critical-Vulnerability-15June2023 Deze updates zijn in combinatie met de updates waarvoor het NCSC eerder de beveiligingsadvies NCSC-2023-0268 heeft gepubliceerd. Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBZIwd5v4Vd0fJc7lbAQr5+wv/Y4FKjLsf9NT8c4MJJiYfLxqrgEvP2ZwU 7oTzFwIrB55E1UbLRGR3OwQyo4MYmR0ngId7tGn7bo9vmVfpEqrcg6vWXnQRGpJE A64BTPbEOqTIWw/7oZnYNB1eb1JqRvyHxgiBC6DLOG2RQzaVROMpBIChLlIlR2Vt 99t1NyMjHxswywz1eGK0lrcFPkCROC8lgvyICvygzpYJ2xqudwxSpShkmK07NLYJ xKR3hjHmGHWE/Qs8pyo9FP9eLe57haqI5GRer5pHPcT9hhT19l5AlSBciWqIeyiA qMQH7iujy0i54A6MKaPnP7kx4SW/9N/6uHnSZRMp9tnJ2Ye+ZR/otjRFHhQhY91P mKp0lASTIKK+BkLBqQkwXIsy7yj2hPGWAajwum9NihinU6RmaknR9QeW30MQYDQe GFL/T/jyxyhs091Pu443Izc9ZzVZGwiz3Zi1XCzgMXD+z8ioOcAe6GvAFIbfskdu e9tKdK6puYt1+zIWNQOb2q6TT/X6mmNV =/B8B -----END PGP SIGNATURE-----