Kritische Schwachstelle in MOVEit Transfer entdeckt

Progress hat eine schwerwiegende Sicherheitslücke (CVE-2025-10932) in allen Versionen seiner MOVEit-Transfer-Software bekannt gegeben. Die Schwachstelle betrifft das AS2-Modul und wird mit einem CVSS-Score von 8.2 (hoch) bewertet. Ursache ist eine Uncontrolled Resource Consumption (CWE-400), die Angreifern ermöglichen kann, durch gezielte Anfragen Systemressourcen übermäßig zu beanspruchen und so den Dienst zu stören oder lahmzulegen.

Betroffen sind alle Versionen von MOVEit Transfer vor den Releases 2025.0.3, 2024.1.7 und 2023.1.16. Kunden der Cloud-Variante sind bereits automatisch geschützt.

Progress stellt Hotfixes bereit, die eine IP-Whitelist für das AS2-Modul einführen. Nutzer, die AS2 nicht aktiv verwenden, sollten die betroffenen Dateien (AS2Rec2.ashx und AS2Receiver.aspx) vorübergehend aus dem Verzeichnis C:\MOVEitTransfer\wwwroot entfernen.

Administratoren sollten die entsprechenden Updates umgehend über das Progress Download Center installieren, um das Risiko eines Denial-of-Service-Angriffs zu minimieren.

Related Posts

EtherHiding: Nordkoreanische Smart-Contract-Malware für Krypto-Diebstahl

Google Threat Intelligence meldet, dass die nordkoreanische Gruppe UNC5342 erstmals die Technik „EtherHiding“ einsetzt, um Malware über öffentliche Blockchains zu laden und Kryptowährungen zu stehlen – der erste beobachtete Nation-State-Einsatz dieser Methode.

Read More

GlassWorm: Unsichtbarer Wurm infiziert VS-Code-Extensions

Sicherheitsforscher von Koi Security haben einen selbst-propagierenden Wurm namens GlassWorm entdeckt, der VS-Code-Erweiterungen auf dem OpenVSX-Marktplatz kompromittiert und bereits aktive Infektionen verteilt. (koi.ai) Die Malware versteckt ausführbaren JavaScript-Code mit unsichtbaren Unicode-Zeichen, sodass Code-Reviews und viele statische Scanner den Schadcode nicht bemerken. Als Kommando- und Steuerinfrastruktur nutzt GlassWorm eine Kombination aus Solana-Blockchain-Transaktionen (immutable Memo-Felder) und einem Google-Calendar-Event als Backup-C2, plus direkte Payload-URLs — eine schwer zu unterbindende, dezentrale Steuerkette. Die Nutzlasten enthalten Credential-Stealer und einen Remote-Access-Trojaner (ZOMBI), der NPM/Git/GitHub/OpenVSX-Tokens stiehlt, Entwicklermaschinen zu SOCKS-Proxies macht und versteckte VNC/HVNC-Zugänge einrichtet. Koi meldet, dass am 17. Oktober mehrere OpenVSX-Extensions kompromittiert wurden und die Gesamtzahl der betroffenen Installationen sich in den Zehntausenden bewegt; weitere befallene Erweiterungen wurden auch im offiziellen VS-Code-Marketplace gefunden. Organisationen und Entwickler sollten sofort prüfen, ob sie betroffene Extensions installiert haben, Tokens/Keys rotieren und lokale Erkennungsmaßnahmen für versteckte Unicode-Zeichen sowie Netzwerk-Anomalien einsetzen.

Read More

CVE-2025-9164: DLL-Hijacking in Docker Desktop Installer ermöglicht lokale Rechteausweitung

Eine neu veröffentlichte Schwachstelle (CVE-2025-9164, auch GHSA-5p9c-72f9-f98q, EUVD-2025-36191) betrifft den Docker Desktop Installer bis Version 4.48.0. Laut Advisory nutzt der Installer eine unsichere DLL-Suchreihenfolge und lädt Bibliotheken aus dem Downloads-Ordner des Benutzers, bevor Systemverzeichnisse geprüft werden.

Read More