- Η Progress Software αποκάλυψε κρίσιμη ευπάθεια CVE-2026-4670 (CVSS 9.8) στο MOVEit Automation που επιτρέπει σε μη αυθεντικοποιημένο εισβολέα να παρακάμψει εντελώς τον μηχανισμό login.
- Παράλληλα αποκαλύφθηκε δεύτερη ευπάθεια, το CVE-2026-5174, που επιτρέπει privilege escalation μέσω improper input validation.
- Οι επηρεαζόμενες εκδόσεις καλύπτουν ολόκληρες σειρές 2024.x και 2025.x — η αναβάθμιση με τον full installer είναι η μόνη επίσημη λύση.
Η Progress Software εξέδωσε κρίσιμη ειδοποίηση ασφαλείας για το MOVEit Automation, το λογισμικό που χρησιμοποιείται ευρέως από επιχειρήσεις για αυτοματοποιημένη και ασφαλή μεταφορά αρχείων. Οι δύο νέες ευπάθειες εντοπίστηκαν από ερευνητές του Airbus SecLab και δημοσιεύτηκαν στις 30 Απριλίου 2026.
CVE-2026-4670: Authentication Bypass με CVSS 9.8
Το CVE-2026-4670 είναι ευπάθεια τύπου CWE-305 (Authentication Bypass by Primary Weakness) και φέρει CVSS 3.1 score 9.8 — Critical. Σύμφωνα με τα τεχνικά δεδομένα, η εκμετάλλευσή του δεν απαιτεί ούτε credentials, ούτε προηγούμενη πρόσβαση, ούτε αλληλεπίδραση από χρήστη (PR:N, UI:N, AV:N). Ένας εισβολέας μπορεί να εκμεταλλευτεί το κενό εξ αποστάσεως μέσω δικτύου, παρακάμπτοντας πλήρως τον μηχανισμό αυθεντικοποίησης και αποκτώντας πρόσβαση σε ευαίσθητα δεδομένα και διαχειριστικές λειτουργίες.
Το attack vector βρίσκεται στα service backend command port interfaces του λογισμικού. Επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε κλοπή αρχείων, παράκαμψη login screens και πλήρη διαχειριστικό έλεγχο του server, σύμφωνα με ανάλυση της CyberSecurityNews.
CVE-2026-5174: Privilege Escalation μέσω Improper Input Validation
Η δεύτερη ευπάθεια, CVE-2026-5174, αξιοποιεί improper input validation στο ίδιο service backend interface. Ένας επιτιθέμενος που έχει ήδη αποκτήσει τυπική πρόσβαση μπορεί να ανεβάσει τα δικαιώματά του σε επίπεδο administrator, αποκτώντας πλήρη έλεγχο του συστήματος. Σε συνδυασμό με το CVE-2026-4670, τα δύο flaws δημιουργούν μια πλήρη αλυσίδα επίθεσης: παράκαμψη login και άμεση κλιμάκωση δικαιωμάτων.
Ποιες εκδόσεις επηρεάζονται
Τα δύο κενά αφορούν πολλαπλές σειρές του MOVEit Automation:
- 2025.1.4 και παλαιότερες → αναβάθμιση σε 2025.1.5
- 2025.0.8 και παλαιότερες → αναβάθμιση σε 2025.0.9
- 2024.1.7 και παλαιότερες → αναβάθμιση σε 2024.1.8
- Όλες οι εκδόσεις πριν από την 2024.0.0 επίσης επηρεάζονται
Η Progress Software τονίζει ότι η χρήση του full installer είναι η μόνη αναγνωρισμένη μέθοδος αντιμετώπισης — δεν υπάρχει διαθέσιμο workaround ή μερική επιδιόρθωση. Οι διαχειριστές μπορούν να επαληθεύσουν την έκδοση που τρέχουν από το Web Admin dashboard, στο μενού Help → About. Τα αρχεία αναβάθμισης είναι διαθέσιμα μέσω του Progress Community portal για όσους διαθέτουν ενεργή συνδρομή συντήρησης.
Ιστορικό και context
Το MOVEit δεν είναι άγνωστο σε κρίσιμα κενά ασφαλείας: το 2023, το CVE-2023-34362 (SQL Injection zero-day) εκμεταλλεύτηκε μαζικά από τη συμμορία ransomware Cl0p, με θύματα δεκάδες οργανισμούς παγκοσμίως, συμπεριλαμβανομένων αμερικανικών κυβερνητικών φορέων. Η φήμη αυτή το καθιστά ιδιαίτερα ελκυστικό στόχο. Από τα δύο νέα CVE δεν έχει αναφερθεί ενεργή εκμετάλλευση στο wild έως τη στιγμή δημοσίευσης, ωστόσο το CISA έχει ήδη ενσωματώσει τα δεδομένα στο advisory του (Automatable: yes, Technical Impact: total).
Οι ομάδες ασφαλείας καλούνται επίσης να ελέγξουν τα audit logs για ανεξήγητες αλλαγές δικαιωμάτων ή ασυνήθιστη δραστηριότητα στα backend interfaces, ως ένδειξη πιθανής προηγούμενης εκμετάλλευσης.
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now