Progress waarschuwt voor ernstig lek in MOVEit Transfer

Progress waarschuwt in een security alert voor het lek, waarvan de ernst is bedeeld met een 9.1 op een schaal van 1 tot 10. Versie 2023.0, 2023.1 en 2024.0 van de software zijn kwetsbaar. Het bedrijf adviseert klanten zo snel mogelijk te upgraden naar de meest actuele versie, waarin het lek is gedicht.

Kwetsbaarheid in third-party component

Daarnaast wijst Progress ook op een andere kwetsbaarheid, die zich in een third-party component bevindt waarvan MOVEit Transfer gebruikmaakt. Dit lek kan in combinatie met CVE-2024-5806 worden gebruikt en vergroot het risico hierbij. De patch die Progress heeft uitgebracht dicht CVE-2024-5806, maar dicht niet dit additionele lek in het third-party component. Progress adviseert een aantal stappen ter mitigatie van het risico dat dit lek oplevert:

• Verifieer dat alle publieke inkomende toegang via remote desktop protocol (RDP) tot MOVEit Transfer servers is geblokkeerd
• Beperk de uitgaande toegang vanaf MOVEit Transfer servers tot vertrouwde endpoints

Meer informatie over het lek is hier beschikbaar.