Progress Software veröffentlichte am 30. April 2026 einen Sicherheitshinweis zu CVE-2026-4670, einer kritischen Authentifizierungsumgehung in MOVEit Automation mit einem CVSS-Score von 9,8. Die Schwachstelle ermöglicht nicht authentifizierten Angreifern, vollständigen administrativen Zugriff auf exponierte Systeme zu erlangen. Entdeckt wurde sie von vier Forschern des Airbus SecLab. Einen Workaround gibt es nicht, nur ein sofortiges Upgrade auf die gepatchten Versionen schützt Unternehmen. Für Österreich und Europa, wo MOVEit Automation in grenzüberschreitendem Datentransfer und kritischer Infrastruktur weit verbreitet ist, gilt die Warnung als hochprioritär.
Was ist CVE-2026-4670?
CVE-2026-4670 ist eine Authentifizierungsumgehung durch primäre Schwäche (Authentication Bypass by Primary Weakness) in MOVEit Automation, dem automatisierten Dateitransfersystem von Progress Software. Mit einem CVSS-3.1-Basisscore von 9,8 liegt die Schwachstelle in der Kategorie Kritisch. Ein nicht authentifizierter Angreifer kann über das Netzwerk, ohne Benutzerinteraktion und ohne besondere Privilegien, die Authentifizierung vollständig umgehen und vollen administrativen Zugriff auf das betroffene System erlangen.
MOVEit Automation automatisiert die Planung, Steuerung und Ausführung von Dateiübertragungen zwischen Systemen. Unternehmen nutzen die Plattform, um sensible Geschäftsdaten, Finanztransaktionen, Patienteninformationen und behördliche Dokumente sicher und protokolliert zu übermitteln. Weil MOVEit-Installationen häufig am Netzwerkperimeter platziert werden, also mit direktem Internetzugang, zählt jede kritische Schwachstelle darin zu den gefährlichsten Angriffszielen im Unternehmensumfeld.
Progress Software bestätigte, dass es zum Zeitpunkt der Offenlegung keine bekannten aktiven Exploits in freier Wildbahn gab. Dieser Zustand kann sich jedoch innerhalb von Stunden nach öffentlicher Bekanntgabe ändern, wie die Geschichte ähnlicher Schwachstellen in MOVEit-Produkten zeigt. Der CVSS-Score von 9,8 entspricht dem höchstmöglichen Risikopotenzial für eine netzwerkbasierte, nicht authentifizierungsgesicherte Schwachstelle.
Technische Details: Wie die Authentifizierungsumgehung funktioniert
Die Schwachstelle betrifft die Backend-Schnittstelle von MOVEit Automation. Angreifer schicken speziell präparierte HTTP-Anfragen an eine exponierte Instanz und umgehen dabei den Authentifizierungsmechanismus vollständig. Sobald die Authentifizierung überwunden ist, erhalten Angreifer vollen Zugriff auf gespeicherte Anmeldeinformationen, automatisierte Aufgaben und Dateitransfer-Workflows.
Besonders gefährlich: Die Kombination von CVE-2026-4670 mit der im selben Sicherheitshinweis veröffentlichten CVE-2026-5174 (Privilege Escalation, CVSS 7,7) ermöglicht eine zweistufige Kompromittierung. Im ersten Schritt überwinden Angreifer die Authentifizierung, im zweiten eskalieren sie ihre Rechte auf Systemebene. Das Ergebnis ist vollständige Kontrolle über die MOVEit Automation-Instanz, inklusive aller gespeicherten Dateien, Zugangsdaten für verbundene Systeme und Automatisierungsregeln.
Der Sicherheitsanbieter Beazley Security warnte in seiner Analyse: “MOVEit wird häufig am Netzwerkperimeter eingesetzt. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann Angreifern Zugang zu sensiblen Daten und laterale Bewegung im Netzwerk ermöglichen.” Das Erkennungsunternehmen runZero beschrieb CVE-2026-4670 als kritische CVSS-9,8-Authentifizierungsumgehung und veröffentlichte Erkennungsregeln für betroffene Assets in seiner Asset-Management-Plattform unmittelbar nach der Offenlegung.
Betroffene Versionen und verfügbare Patches
Progress Software hat alle betroffenen Versionen und die jeweiligen Patches im Sicherheitshinweis vom 30. April 2026 dokumentiert. Jede MOVEit Automation-Installation, die nicht auf eine der gepatchten Versionen aktualisiert wurde, gilt als gefährdet. Das Unternehmen betont: Es gibt keinen Workaround. Die einzige wirksame Gegenmaßnahme ist die Installation des vollständigen Installers der Zielversion.
| MOVEit Automation-Zweig | Betroffene Version (bis einschl.) | Gepatchte Version | Patch verfügbar seit |
|---|---|---|---|
| 2025.1.x (Build-Track 12.x.0.x) | 2025.1.4 | 2025.1.5 | 30. April 2026 |
| 2025.0.x (Build-Track 12.x.0.x) | 2025.0.8 | 2025.0.9 | 30. April 2026 |
| 2024.1.x (Build-Track 12.x.0.x) | 2024.1.7 | 2024.1.8 | 30. April 2026 |
| 2025.0.x (Build-Track 12.x.1.x) | 2025.0.1.0 | 2025.0.1.1 | 30. April 2026 |
| 2024.1.x (Build-Track 12.x.1.x) | 2024.1.1.0 | 2024.1.1.1 | 30. April 2026 |
| Versionen vor 2024.0.x | Alle älteren Releases | Upgrade auf unterstützte Version erforderlich | 30. April 2026 |
Systemadministratoren müssen zunächst den aktuell installierten Build-Track ermitteln und das entsprechende Upgrade-Paket von der offiziellen Progress-Sicherheitsseite herunterladen. Progress empfiehlt, den Netzwerkzugriff auf MOVEit Automation zu beschränken, bis das Upgrade abgeschlossen ist, besonders für Installationen mit direktem Internetzugang. Ältere Versionen als 2024.0.x erhalten keinen direkten Patch und müssen auf eine aktuelle, unterstützte Version migriert werden.
CVE-2026-5174: Die zweite kritische Lücke im selben Update
Progress Software veröffentlichte CVE-2026-4670 nicht isoliert. Im selben Sicherheitshinweis erschien CVE-2026-5174, eine Privilege-Escalation-Schwachstelle mit einem CVSS-Score von 7,7. Beide Lücken bilden eine gefährliche Kombination: CVE-2026-4670 liefert den initialen Zugriff ohne Authentifizierung, CVE-2026-5174 hebelt anschließend Berechtigungsschranken aus und verschafft Angreifern volle Systemkontrolle.
Sicherheitsforscher stufen Schwachstellenpaare dieser Art als besonders kritisch ein, weil sie eine vollständige Angriffskette ohne zusätzliche Hilfsmittel ermöglichen. Angreifer müssen keine weiteren Schwachstellen suchen oder Social Engineering einsetzen: CVE-2026-4670 öffnet die Tür, CVE-2026-5174 gibt die vollständigen Schlüssel. Progress Software behandelt beide Schwachstellen mit demselben Patch-Set, ein einzelnes Upgrade schließt beide Lücken gleichzeitig.
Die Entdecker: Airbus SecLab meldet verantwortungsvoll
Die Schwachstellen wurden von vier Forschern des Airbus SecLab entdeckt und gemäß dem Prinzip der verantwortungsvollen Offenlegung (Responsible Disclosure) privat an Progress Software gemeldet. Die Forscher sind Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau. Progress Software koordinierte die Entwicklung und Bereitstellung der Patches, bevor die Schwachstellen öffentlich bekannt wurden.
Help Net Security berichtete, dass kein öffentlicher Proof-of-Concept-Exploit vorlag, bevor Progress die gepatchten Versionen veröffentlichte. Das ist ein wichtiger Unterschied zum MOVEit-Vorfall 2023, bei dem die Cl0p-Gruppe die Schwachstelle bereits aktiv ausnutzte, als Progress die erste Warnung herausgab. Das Airbus SecLab hat durch die koordinierte Offenlegung den Unternehmen weltweit einen zeitlichen Vorsprung vor potenziellen Angreifern verschafft, der jedoch nur dann nutzt, wenn Administratoren unverzüglich patchen.
Quentin Liddell vom Airbus SecLab verwies auf das grundlegende Problem bei MFT-Backend-Architekturen: “Backend-Schnittstellen von MFT-Software werden häufig unter der Annahme designed, dass sie nur intern erreichbar sind. In der Praxis sind sie oft direkt oder indirekt über das Internet zugänglich, was ihre Sicherheitsarchitektur grundlegend in Frage stellt.” Das Airbus-Team zeigt damit, dass europäische Sicherheitsforschung zunehmend in der Lage ist, kritische Schwachstellen in global eingesetzter Enterprise-Software aufzudecken.
Warum MOVEit Automation ein hochwertiges Angriffsziel ist
Managed File Transfer-Systeme (MFT) wie MOVEit Automation vereinen mehrere Eigenschaften, die sie für Angreifer besonders attraktiv machen. Sie verarbeiten große Mengen sensibler Daten, sie sind oft mit externen Partnern, Kunden und Behörden verbunden, und sie speichern Zugangsdaten für zahlreiche Drittsysteme. Ein einziger kompromittierter MFT-Server kann einem Angreifer den Zugang zu Dutzenden nachgelagerten Systemen öffnen.
Branchen, die MOVEit Automation intensiv nutzen, umfassen den Finanzsektor (Banken, Versicherungen, Zahlungsdienstleister), das Gesundheitswesen (Krankenhäuser, Labore, Krankenversicherungen), Behörden und öffentliche Verwaltung sowie produzierende Unternehmen mit komplexen Lieferketten. Alle diese Branchen verarbeiten personenbezogene Daten in großem Umfang, was bei einer Kompromittierung sofortige DSGVO-Meldepflichten auslöst.
Ryan Hicks vom Sicherheitsdienstleister Beazley Security erklärte: “Managed File Transfer-Systeme sind strukturell als Datenkonzentratoren designed. Das macht sie zu idealen Angriffszielen, weil der Return on Investment für Angreifer pro kompromittierter Installation extrem hoch ist. Eine einzige MFT-Instanz kann Daten von Dutzenden oder Hunderten von Gegenparteien bündeln.” Diese Einschätzung deckt sich mit dem Angriffsmuster der Cl0p-Gruppe, die seit 2021 systematisch MFT-Plattformen als primäre Ziele wählt.
Rückblick: Der MOVEit-Transfer-Angriff 2023 als Blaupause
Um das Risiko von CVE-2026-4670 richtig einzuordnen, lohnt ein Blick auf den größten MFT-Sicherheitsvorfall der Geschichte: den MOVEit-Transfer-Angriff der Cl0p-Ransomware-Gruppe im Mai und Juni 2023. Damals nutzte Cl0p eine SQL-Injection-Schwachstelle in MOVEit Transfer (CVE-2023-34362) aus, um massenhaft Daten zu exfiltrieren und Unternehmen mit deren Veröffentlichung zu erpressen.
Die Cl0p-Gruppe und ihr Angriffsmuster
Die Cl0p-Gruppe, auch bekannt als TA505, betreibt seit Jahren eine Strategie der massenhaften Ausnutzung von Schwachstellen in Dateitransfer-Software. 2021 griff Cl0p die Accellion FTA-Plattform an, 2023 folgte GoAnywhere MFT (CVE-2023-0669) und unmittelbar danach MOVEit Transfer. Das Muster ist konstant: eine kritische Schwachstelle im MFT-Sektor, koordinierte Massenausnutzung innerhalb weniger Tage, Datendiebstahl ohne Verschlüsselung, dann Erpressung. Die Effizienz dieser Methode machte Cl0p zur profitabelsten Erpressungsgruppe des Jahres 2023.
Beim MOVEit-Transfer-Vorfall 2023 exploitierte Cl0p die SQL-Injection-Schwachstelle bereits aktiv, als Progress Software die erste öffentliche Warnung herausgab. Akamai Security Intelligence Group detektierte Angriffsversuche ab dem 27. Mai 2023. Mandiant nannte denselben Zeitpunkt als ersten bekannten Angriff. Die Folgen waren historisch: Laut dem Emsisoft-Tracker betrafen die bestätigten Vorfälle bis Oktober 2023 2.559 Organisationen und 66,3 Millionen Einzelpersonen. Zu den betroffenen Unternehmen zählten Shell, Deutsche Bank, PricewaterhouseCoopers, Ernst & Young, BBC, British Airways, Siemens, Sony, Deloitte, TIAA und das US-Energieministerium. Der modellierte Gesamtschaden wird auf bis zu 12,15 Milliarden US-Dollar geschätzt.
Akamai identifizierte damals rund 2.500 über das Internet erreichbare MOVEit-Server via Shodan. Angesichts dieser Exposition und der Angriffsmuster aus 2023 gilt jede neu entdeckte kritische Schwachstelle in der MOVEit-Produktlinie als hochrangige Bedrohung. CVE-2026-4670 betrifft zwar MOVEit Automation statt MOVEit Transfer, aber die Risikoarchitektur ist identisch.
Historische MFT-Sicherheitsvorfälle im Vergleich
MOVEit ist nicht die einzige MFT-Plattform mit gravierenden Sicherheitsproblemen. Die Geschichte der letzten fünf Jahre zeigt, dass der gesamte MFT-Sektor ein systematisches Ziel für staatlich geförderte Akteure und kriminelle Gruppen ist. Die folgende Tabelle gibt einen Überblick über die wichtigsten MFT-Sicherheitsvorfälle seit 2021.
| Vorfall | CVE / Schwachstellentyp | CVSS | Betroffene Organisationen | Angreifer | Jahr |
|---|---|---|---|---|---|
| Accellion FTA | Multiple (SQLi + RCE) | 9,8 | Ca. 100 Org. (Singtel, Shell, Uni Melbourne u.a.) | Cl0p / FIN11 | 2021 |
| GoAnywhere MFT | CVE-2023-0669 (RCE) | 7,2 | 130+ Organisationen bestätigt | Cl0p | 2023 |
| MOVEit Transfer | CVE-2023-34362 (SQL-Injection) | 9,8 | 2.559 Org., 66,3 Mio. Personen | Cl0p | 2023 |
| MOVEit Transfer | CVE-2024-5806 (Auth Bypass) | 9,1 | Nicht öffentlich quantifiziert | Unbekannt | 2024 |
| MOVEit Automation | CVE-2026-4670 (Auth Bypass) | 9,8 | Hunderte potenziell betroffen | Kein aktiver Exploit bestätigt | 2026 |
Die Tabelle zeigt ein klares Muster: MFT-Software wird wiederholt mit kritischen CVSS-Scores angegriffen, die Cl0p-Gruppe dominiert die Attribution, und die Ausnutzungszeit von der Offenlegung bis zur aktiven Kampagne liegt häufig unter 72 Stunden. Für CVE-2026-4670 gilt: Die koordinierte Offenlegung mit gleichzeitig verfügbarem Patch war kein Zufall, sondern eine gelernte Reaktion auf die Fehler von 2023.
Reaktion von CISA, BSI und CERT.at
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) erließ nach Bekanntwerden von CVE-2026-4670 eine dringende Empfehlung für alle Bundesbehörden, die MOVEit Automation einsetzen, und rief zur sofortigen Patchumsetzung auf. CISA hat CVE-2026-4670 in seinen bekannten Empfehlungen mit hoher Priorität geführt, auch wenn zum Zeitpunkt der Offenlegung keine bestätigte aktive Ausnutzung vorlag.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland veröffentlichte eine Sicherheitsmeldung und empfahl Betreibern kritischer Infrastruktur, den Status ihrer MOVEit Automation-Installationen sofort zu überprüfen. Das österreichische CERT.at stufte CVE-2026-4670 als kritisch ein und informierte registrierte Meldestellen. Progress Software selbst kommunizierte unmissverständlich: “Wir sind uns zum Zeitpunkt der Offenlegung einer sehr begrenzten Anzahl von Kunden bewusst, deren Systeme möglicherweise gefährdet sein könnten. Die einzige Gegenmaßnahme ist ein Upgrade auf eine der gepatchten Versionen.”
Dieses Statement ist vergleichbar mit der frühen Kommunikation zu Ivanti-Schwachstellen im Januar 2026, bei denen die tatsächliche Ausnutzungsbreite erst Wochen nach der Erstmeldung vollständig bekannt wurde. Organisationen sollten nicht darauf vertrauen, dass “begrenzte Opferzahl bei Offenlegung” eine dauerhafte Aussage ist.
Österreich und die EU: NIS2, DORA und DSGVO im Fokus
Dreifache Meldepflicht bei Kompromittierung
Österreichische Unternehmen, die eine Kompromittierung ihrer MOVEit Automation-Instanz durch CVE-2026-4670 erleiden, stehen vor einem regulatorischen Dreifachproblem. Unter der NIS2-Richtlinie, die seit Oktober 2024 in österreichisches Recht umgesetzt ist, müssen essentielle und wichtige Einrichtungen erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden, an die zuständige Behörde melden. Eine kompromittierte MOVEit Automation-Instanz, die personenbezogene Daten verarbeitet oder kritische Dienste unterstützt, löst diese Pflicht automatisch aus.
Unter der DSGVO besteht bei Verlust, unbefugtem Zugriff auf oder Offenlegung personenbezogener Daten eine Meldepflicht an die österreichische Datenschutzbehörde (DSB) innerhalb von 72 Stunden nach Kenntniserlangung. Betroffene Personen müssen informiert werden, wenn das Risiko für ihre Rechte und Freiheiten als hoch eingestuft wird. Bußgelder können bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.
Der Digital Operational Resilience Act (DORA), der ab Januar 2025 für Finanzunternehmen in der EU gilt, fügt eine dritte Dimension hinzu. Regulierte Finanzinstitute in Österreich, von Banken über Versicherungen bis zu Zahlungsdienstleistern, müssen IKT-bezogene Vorfälle klassifizieren, interne Eskalationsprozesse aktivieren und bei Überschreitung bestimmter Schwellenwerte an die Bundesanstalt für Finanzdienstleistungsaufsicht (FMA) berichten. Eine kompromittierte MFT-Plattform, die Zahlungsdaten oder Finanztransaktionen überträgt, fällt klar in den DORA-Geltungsbereich.
In der Praxis bedeutet das für österreichische Organisationen: Eine ungepatchte MOVEit Automation-Instanz, die kompromittiert wird, kann regulatorische Konsequenzen auslösen, die den technischen Schaden um ein Vielfaches übersteigen. Compliance-Teams sollten CVE-2026-4670 nicht als rein technisches Problem behandeln, sondern als Auslöser für den vollständigen Incident-Response-Prozess inklusive Rechtsberatung und behördlicher Abstimmung.
MFT-Plattformen im Sicherheitsvergleich 2026
CVE-2026-4670 wirft die Frage auf, ob alternative MFT-Plattformen eine bessere Sicherheitsbilanz aufweisen. Die Wahrheit ist komplex: Keine große MFT-Plattform ist immun gegen kritische Schwachstellen, aber Unterschiede in Deployment-Modell, Patch-Geschwindigkeit und Sicherheitsarchitektur sind relevant für Beschaffungsentscheidungen.
| MFT-Plattform | Deployment-Modell | Kritische CVEs (2021-2026) | Typische Patch-Zeit | Externe Angreifbarkeit |
|---|---|---|---|---|
| MOVEit Automation (Progress) | On-Premises / Cloud | CVE-2026-4670 (9,8), CVE-2024-5806 (9,1) | 1-3 Tage (seit 2023 verbessert) | Hoch (Perimeter-Deployment typisch) |
| MOVEit Transfer (Progress) | On-Premises / Cloud | CVE-2023-34362 (9,8), CVE-2023-35036 (9,1) | 1-2 Tage | Sehr hoch (internet-facing designed) |
| GoAnywhere MFT (Fortra) | On-Premises / Cloud | CVE-2023-0669 (7,2) | 2-4 Tage | Hoch (Admin-Panel oft exponiert) |
| IBM Sterling File Gateway | On-Premises / Hybrid | Keine kritischen CVEs 2023-2026 publiziert | Variiert stark | Mittel (komplexes Deployment) |
| Kiteworks MFT | Cloud / On-Premises | Keine kritischen CVEs 2023-2026 publiziert | k.A. | Mittel (Cloud-first reduziert Exposition) |
Der Vergleich zeigt: Cloudbasierte oder cloud-first MFT-Lösungen reduzieren die direkte Angriffsfläche, indem der Anbieter für Patches und Exposition verantwortlich ist. On-premises-Deployments bieten mehr Datensouveränität, erfordern aber konsequentes und schnelles Patch-Management. Organisationen, die ihren MFT-Stack nach dem MOVEit-Vorfall 2023 nicht neu bewertet haben, sollten CVE-2026-4670 als Auslöser für eine vollständige Risikoanalyse nutzen.
Expertenmeinungen: Systemisches Risiko in MFT-Infrastruktur
Sicherheitsexperten sehen in CVE-2026-4670 nicht nur eine weitere kritische Schwachstelle, sondern den Beleg für ein systemisches Problem im MFT-Sektor. Ryan Hicks von Beazley Security beschreibt das strukturelle Dilemma: “MFT-Systeme sind architektonisch als Konvergenzpunkte für Datenflüsse designed. Das ist ihr Wert für Unternehmen und gleichzeitig ihr Risiko: Wer einen solchen Konvergenzpunkt kontrolliert, kontrolliert potentiell alle Datenflüsse der Organisation.”
runZero betonte in seiner Analyse: “Ein CVSS-Score von 9,8 für eine nicht authentifizierungsgesicherte Schwachstelle ist die höchstmögliche Risikoeinstufung. Jede über das Internet erreichbare MOVEit Automation-Instanz ist bis zur Patchumsetzung als kompromittiert zu behandeln.” Das Unternehmen ermutigte alle Asset-Management-Kunden, sofort nach betroffenen Systemen zu suchen und Erkennungsregeln zu aktivieren.
Auf Branchenebene warnen mehrere Analysten, dass die zunehmende Automatisierung von Dateitransfers, ausgelöst durch Digitalisierungsprojekte in der öffentlichen Verwaltung und im Finanzsektor, die Angriffsfläche für MFT-Schwachstellen systematisch vergrößert. Jede neue Integration, jede neue Partnerverbindung über MOVEit Automation, erhöht den potenziellen Schaden einer zukünftigen Kompromittierung. Die NIS2-Richtlinie und DORA treiben genau diese Digitalisierung voran, ohne dass in allen Fällen die Sicherheitsarchitektur der eingesetzten Plattformen parallel mitbewertet wird.
Fünf Prognosen für MFT-Sicherheit 2026 und 2027
Die Enthüllung von CVE-2026-4670 wird Konsequenzen haben, die über den unmittelbaren Patch hinausgehen. Basierend auf dem Muster früherer MFT-Schwachstellen und der aktuellen Bedrohungslandschaft sind diese fünf Entwicklungen wahrscheinlich:
- Aktive Ausnutzung innerhalb von 30 Tagen nach Offenlegung. Der Zeitraum zwischen der Veröffentlichung eines CVSS-9,8-Patches und dem ersten bestätigten aktiven Exploit hat sich in der MFT-Kategorie seit 2021 konsistent auf unter 30 Tage verkürzt. CVE-2026-4670 wird voraussichtlich diesem Muster folgen, sobald Angreifer Proof-of-Concept-Exploits entwickeln und testen.
- Cl0p oder Nachfolgegruppen nehmen MOVEit Automation ins Visier. Die Cl0p-Gruppe hat bewiesen, dass massenhafte Ausnutzung von MFT-Schwachstellen profitabel ist. CVE-2026-4670 wird als Vorlage für eine erneute Kampagne analysiert, selbst wenn kein aktiver Angriff im ersten Offenlegungsfenster stattfindet.
- EU-Regulatoren führen Pflicht-MFT-Audits für NIS2-Entitäten ein. Die Häufigkeit kritischer MFT-Schwachstellen wird Regulatoren wie ENISA dazu veranlassen, sektorspezifische Richtlinien für sichere MFT-Deployment-Muster zu veröffentlichen, möglicherweise mit verpflichtenden Audits für kritische Infrastruktur bis Ende 2027.
- Cloudbasierte MFT-Lösungen gewinnen Marktanteile auf Kosten von On-Premises-Produkten. Jede kritische Schwachstelle in on-premises MFT-Software verstärkt den Druck auf CISOs, zu SaaS-basierten Alternativen zu wechseln, bei denen der Anbieter für Patches und Perimeter-Schutz verantwortlich ist. Dieser Trend beschleunigt sich nach CVE-2026-4670.
- Netzwerksegmentierung wird zur regulatorischen Pflichtanforderung für MFT-Deployments. Sicherheitsframeworks werden Segmentierungsanforderungen für MFT-Systeme explizit vorschreiben, um Lateral Movement nach einer Kompromittierung zu begrenzen. BSI Grundschutz und ISO 27001-Implementierungsanleitungen werden entsprechende Aktualisierungen erhalten.
Empfohlene Sofortmaßnahmen für Administratoren
Für Organisationen, die MOVEit Automation einsetzen, ergibt sich ein klarer Handlungsplan. Progress Software hat keine Mehrdeutigkeit in ihrer Kommunikation gelassen: Es gibt keinen Workaround, nur ein Upgrade schützt.
- Bestandsaufnahme: Alle MOVEit Automation-Installationen identifizieren und installierte Versionsnummern dokumentieren. Dabei den Build-Track (12.x.0.x oder 12.x.1.x) feststellen.
- Netzwerkzugriff einschränken: Bis zum abgeschlossenen Upgrade den Netzwerkzugriff auf MOVEit Automation auf vertrauenswürdige interne IPs beschränken und alle eingehenden Verbindungen aus dem Internet blockieren.
- Upgrade durchführen: Das vollständige Installer-Paket der Zielversion von der Progress-Webseite herunterladen und das Upgrade nach interner Testprozedur umsetzen. Für kritische Produktionssysteme empfiehlt sich ein vorheriger Snapshot oder Backup.
- Forensische Überprüfung: Nach dem Upgrade Zugriffslogs auf anomale Aktivitäten prüfen, besonders auf ungewöhnliche Authentifizierungsversuche und administrative Zugriffsaktionen aus unbekannten IPs.
- Incident-Response-Plan aktivieren: Wenn Anzeichen einer Kompromittierung vorliegen, den vollständigen Incident-Response-Plan aktivieren und rechtliche sowie behördliche Meldepflichten nach NIS2, DSGVO und DORA prüfen.
Häufig gestellte Fragen zu CVE-2026-4670
- Was ist CVE-2026-4670? CVE-2026-4670 ist eine kritische Authentifizierungsumgehung (CVSS 9,8) in MOVEit Automation von Progress Software. Sie ermöglicht nicht authentifizierten Angreifern, vollen administrativen Zugriff auf betroffene Systeme zu erlangen, ohne Benutzerinteraktion oder Zugangsdaten zu benötigen.
- Ist CVE-2026-4670 bereits aktiv ausgenutzt? Zum Zeitpunkt der Offenlegung am 30. April 2026 bestätigte Progress Software keine aktive Ausnutzung in freier Wildbahn. Angesichts des Schweregrads und der Geschichte ähnlicher MFT-Schwachstellen ist eine zukünftige aktive Ausnutzung jedoch wahrscheinlich.
- Welche MOVEit-Versionen sind betroffen? Alle MOVEit Automation-Versionen bis einschließlich 2025.1.4, 2025.0.8 und 2024.1.7 (sowie ältere Releases) sind betroffen. Gepatchte Versionen sind 2025.1.5, 2025.0.9 und 2024.1.8.
- Gibt es einen Workaround für CVE-2026-4670? Nein. Progress Software hat explizit bestätigt, dass es keinen Workaround gibt. Der einzige Schutz ist das Upgrade auf eine der gepatchten Versionen via vollständigem Installer.
- Was ist der Unterschied zwischen MOVEit Automation und MOVEit Transfer? MOVEit Transfer ist primär für manuellen und halbautomatisierten sicheren Dateitransfer designed. MOVEit Automation fokussiert sich auf die vollautomatische Planung, Steuerung und Ausführung von Dateiübertragungen zwischen Systemen ohne manuelle Eingriffe. CVE-2026-4670 betrifft ausschließlich MOVEit Automation.
- Welche Meldepflichten entstehen bei einer Kompromittierung in Österreich? Unter DSGVO gilt eine 72-Stunden-Frist für die Meldung an die österreichische Datenschutzbehörde, wenn personenbezogene Daten betroffen sind. Unter NIS2 besteht eine 24-Stunden-Erstmeldepflicht für essentielle und wichtige Einrichtungen. DORA-regulierte Finanzunternehmen haben zusätzliche IKT-Incident-Meldepflichten gegenüber der FMA.
- Wie unterscheidet sich CVE-2026-4670 vom MOVEit-Angriff 2023? Der 2023-Angriff nutzte eine SQL-Injection in MOVEit Transfer aus und wurde von der Cl0p-Gruppe aktiv in einer koordinierten Kampagne ausgenutzt, bevor ein Patch verfügbar war. CVE-2026-4670 ist eine Authentifizierungsumgehung in MOVEit Automation, wurde privat gemeldet, und der Patch war zum Zeitpunkt der öffentlichen Offenlegung bereits verfügbar. Das Schadenspotenzial ist vergleichbar, der Reaktionszeitraum für Organisationen ist günstiger.
Verwandte Artikel
Weiterführende Analysen zu aktuellen Sicherheitsvorfällen und MFT-Sicherheitsthemen auf shattered.io:
- Oracle-Datenleck 2026: Cl0p trifft über 100 Unternehmen
- Foxconn-Hack: Nitrogen-Ransomware stiehlt 8 TB Daten
- DragonForce: 300 Mio. Pfund M&S-Angriff und seine Folgen
- Cyber Resilience Act: 15 Mio. Euro Strafe ab 2026
- Chrome Zero-Day CVE-2026-11645: CVSS 8,8, aktiv ausgenutzt
- Alle Sicherheitsanalysen im Cluster: /security/
Externe Quellen:
