Eine kritische Sicherheitslücke mit einem CVSS-Score von 9,8 bedroht weltweit mehr als 1.400 öffentlich erreichbare MOVEit-Automation-Instanzen. Progress Software schloss CVE-2026-4670 und die damit verkettete Privilege-Escalation-Lücke CVE-2026-5174 am 30. April 2026 mit einem Notch-Patch, doch Experten warnen: Wer noch nicht aktualisiert hat, spielt mit dem Feuer. Der Grund: MOVEit ist exakt dasselbe Produkt, das die Cl0p-Ransomware-Gruppe 2023 für den verheerenden Angriff auf 2.773 Organisationen und 95,8 Millionen Personen nutzte.
Entdeckt wurden die Lücken von vier Sicherheitsforschern des Airbus SecLab: Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau. Ihr Fund kommt zu einem Zeitpunkt, an dem viele Unternehmen im DACH-Raum gerade erst die NIS2-Umsetzung und das KRITIS-Dachgesetz in ihre Compliance-Prozesse integrieren, und zeigt, wie eng der Spielraum zwischen Patch-Release und aktivem Exploit sein kann.
Was ist CVE-2026-4670 in MOVEit Automation?
MOVEit Automation ist ein Enterprise-Produkt von Progress Software für die automatisierte, SFTP- und API-gestützte Dateiübertragung in regulierten Umgebungen, das vor allem im Finanz-, Gesundheits- und Behördensektor eingesetzt wird. Die Schwachstelle CVE-2026-4670 ermöglicht es einem nicht authentifizierten Angreifer, die Authentifizierungsprüfungen des Produkts vollständig zu umgehen. Der Angriff erfolgt über die internen Backend-Command-Port-Schnittstellen der MOVEit-Automation-Service-Komponente, die normalerweise nur für interne Prozesse erreichbar sind.
Progress Software beschreibt die Schwachstelle in seinem Security Advisory so: “Critical and high vulnerabilities in MOVEit Automation may allow authentication bypass and privilege escalation through the service backend command port interfaces. Exploitation may lead to unauthorized access, administrative control, and data exposure.” Der Hersteller betont, dass es “no confirmed exploits in the wild” gibt, aber gleichzeitig: “Upgrading to a patched release, using the full installer, is the only way to remediate this issue.”
Die zweite Schwachstelle, CVE-2026-5174, betrifft eine fehlerhafte Eingabevalidierung und erlaubt eine Privilege Escalation. Für sich allein erfordert sie authentifizierten Zugriff, doch in Kombination mit CVE-2026-4670 bildet sie eine gefährliche Angriffskette: Der Angreifer umgeht zuerst die Authentifizierung, eskaliert dann seine Rechte und erlangt so administrative Kontrolle über das gesamte Dateitransfer-System.
Technische Analyse: Wie der Angriff funktioniert
Der Backend-Command-Port in MOVEit Automation ist eigentlich für interne Service-Kommunikation vorgesehen, etwa für die Verarbeitung automatisierter Dateiübertragungs-Workflows. CVE-2026-4670 ermöglicht es einem externen Angreifer, diesen Port anzusprechen und dabei Authentifizierungskontrollen zu überspringen. Die technische Klassifizierung lautet CWE-288: Authentication Bypass Using an Alternate Path or Channel.
Was den CVSS-Score von 9,8 rechtfertigt, ist die Kombination aus mehreren Faktoren: Der Angriff benötigt keine vorherigen Anmeldedaten, keine Benutzerinteraktion und keine lokale Präsenz. Damit erfüllt CVE-2026-4670 alle Kriterien für einen Remote-Code-Execution-Angriff der schwersten Kategorie. Die Angriffsvektoren sind im CVSS-V3.1-Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H abgebildet.
Sicherheitsexperten von Rapid7 ordnen solche Command-Port-Schwachstellen als besonders gefährlich ein, weil sie in der Praxis oft schwer zu erkennen sind: Webserver-Logs und herkömmliche WAF-Regeln decken die betroffene Service-Schnittstelle häufig nicht ab. Das bedeutet, dass ein erfolgreicher Angriff auf CVE-2026-4670 in einer ungepatchten Umgebung für Wochen oder Monate unentdeckt bleiben kann.
Betroffene Versionen und offizieller Patch
Progress Software hat in seinem Security Bulletin vom 30. April 2026 die betroffenen Versionen und die jeweiligen Fixes klar aufgelistet. Wer noch auf einer der folgenden Versionen läuft, ist akut gefährdet:
| Betroffene Version | CVE-2026-4670 | CVE-2026-5174 | Fix-Version | Release-Datum |
|---|---|---|---|---|
| MOVEit Automation 2025.1.4 und früher | Betroffen | Betroffen | 2025.1.5 | 30. April 2026 |
| MOVEit Automation 2025.0.8 und früher | Betroffen | Betroffen | 2025.0.9 | 30. April 2026 |
| MOVEit Automation 2024.1.7 und früher | Betroffen | Betroffen | 2024.1.8 | 30. April 2026 |
| MOVEit Automation vor 2024.0.0 | Betroffen | Betroffen | Upgrade auf 2024.1.8+ erforderlich | 30. April 2026 |
Progress Software betont einen kritischen Punkt: Das Einspielen des Patches erfordert den Full Installer, nicht nur ein Delta-Update. Das bedeutet, dass der MOVEit-Automation-Service während der Installation offline geht. Für Organisationen, die MOVEit für zeitkritische Dateiübertragungen nutzen, muss das Patch-Fenster sorgfältig geplant werden. Ein partial update oder ein manuelles Hotfix reichen nicht aus, um die Lücke zu schließen.
Airbus SecLab: Die Forscher, die die Lücke fanden
Hinter der Entdeckung von CVE-2026-4670 und CVE-2026-5174 steckt das Airbus SecLab, die interne Sicherheitsforschungsabteilung des europäischen Luft- und Raumfahrtkonzerns. Die vier verantwortlichen Forscher, Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau, meldeten die Schwachstellen Progress Software privat (Responsible Disclosure), bevor der Patch am 30. April 2026 veröffentlicht wurde.
Das Airbus SecLab ist bekannt für gezielte Sicherheitsforschung an Enterprise-Software, die in sicherheitskritischen Umgebungen eingesetzt wird, also genau dem Anwendungsbereich, in dem MOVEit Automation verbreitet ist. Der Umstand, dass Airbus-eigene Forscher diese Lücke gefunden haben, zeigt, wie ernst der Konzern die Sicherheit der Software-Lieferkette nimmt, auf die seine eigenen Systeme angewiesen sind.
Die koordinierte Offenlegung ist positiv zu bewerten: Durch den Responsible-Disclosure-Prozess konnte Progress Software einen Patch bereitstellen, bevor Details öffentlich wurden. Das steht in scharfem Kontrast zu 2023, als Cl0p CVE-2023-34362 aktiv ausgenutzt hatte, bevor Progress Software überhaupt von der Schwachstelle wusste. Damals war es ein echter Zero-Day, der von kriminellen Akteuren im Voraus beschafft wurde.
1.400 exponierte Instanzen: Das globale Risikoprofil
Internet-weite Scans zeigen, dass zum Zeitpunkt der Patch-Veröffentlichung am 30. April 2026 mehr als 1.400 MOVEit-Automation-Instanzen öffentlich erreichbar waren. Nicht alle davon liefen zwingend auf ungepatchten Versionen, aber die Zahl illustriert das potenzielle Angriffsfläche. MOVEit-Transfer-Instanzen (das separate Produkt) kommen noch hinzu.
Besonders brisant ist, dass MOVEit-Produkte typischerweise in Hochrisikoumgebungen eingesetzt werden: Krankenhäuser übertragen Patientendaten, Finanzdienstleister bewegen Zahlungsdaten, Behörden handhaben Bürgerinformationen. Jede dieser Instanzen ist ein potenzielles Einfallstor, wenn sie nicht gepatcht wird. Und der Window-of-Exposure, also die Zeit zwischen Patch-Release und vollständig implementiertem Update, ist erfahrungsgemäß bei Enterprise-Software länger als bei Consumer-Produkten: Interne Genehmigungsprozesse, Wartungsfenster und Kompatibilitätstests verzögern Patches oft um Wochen.
Sicherheitsforscher von Emsisoft, die 2023 die MOVEit-Breaches systematisch dokumentierten, warnten bereits damals, dass der Wert öffentlich exponierter Instanzen ein schlechter Indikator für das tatsächliche Risiko ist: Viele MOVEit-Systeme sind hinter Firewalls oder in DMZ-Architekturen versteckt, können aber trotzdem über kompromittierte Netzwerke erreicht werden. Die 1.400 Instanzen sind also eine Untergrenze, kein Gesamtbild.
Der große Vergleich: 2023 vs. 2026
Um das Risiko von CVE-2026-4670 einzuschätzen, ist der Blick auf das Jahr 2023 unvermeidlich. Damals nutzte die Cl0p-Ransomware-Gruppe die Schwachstelle CVE-2023-34362 in MOVEit Transfer aus und löste eine Kaskade von Datenschutzverletzungen aus, die als eines der schwersten Supply-Chain-Ereignisse der Geschichte gilt.
| Faktor | 2023: CVE-2023-34362 (MOVEit Transfer) | 2026: CVE-2026-4670 (MOVEit Automation) |
|---|---|---|
| CVSS-Score | 9,8 (Kritisch) | 9,8 (Kritisch) |
| Schwachstellentyp | Auth-Bypass via SQL Injection | Auth-Bypass via Backend-Command-Port |
| Betroffene Organisationen | 2.773 (bestätigt, Stand Juni 2024) | 0 bestätigt (1.400+ exponiert) |
| Betroffene Personen | 95.788.491 | Noch keine |
| Geschätzter Gesamtschaden | 15,8 Milliarden US-Dollar | Noch nicht bezifferbar |
| Angreifer-Gruppe | Cl0p (Russland-affiliiert) | Keine bekannten Angreifer |
| Zero-Day-Fenster | Mindestens 4 Tage (27.–31. Mai 2023) | Kein Zero-Day (Responsible Disclosure) |
| Exploit-Status | Aktiv ausgenutzt vor dem Patch | Kein bekannter Exploit (Stand: 22. Juni 2026) |
| Entdeckung durch | Kriminelle Akteure | Airbus SecLab (koordiniert) |
| Bekannte Opfer | Shell, British Airways, US DoE, BBC, EY, PwC | Keine bestätigt |
Der Unterschied zwischen 2023 und 2026 ist strukturell entscheidend: Damals war es ein echter Zero-Day, der von Cl0p aktiv ausgenutzt wurde, bevor Progress Software den Patch bereitstellen konnte. Diesmal haben Airbus-Forscher die Schwachstelle verantwortungsvoll gemeldet, sodass ein Patch verfügbar ist, bevor Kriminelle die Lücke ausnutzen konnten. Das gibt Unternehmen und Behörden ein Zeitfenster, das 2023 nicht existierte.
Aber die Geschichte zeigt auch: Die Lücke zu kennen und sie zu schließen sind zwei verschiedene Dinge. Im Jahr 2023 dauerte es Monate, bis alle betroffenen Organisationen gepatcht hatten. Manche wurden erst im Herbst 2023 informiert, dass ihre Daten bereits abgeflossen waren. Genau dieses Risiko besteht auch 2026, solange nicht alle 1.400+ Instanzen auf die gepatchten Versionen aktualisiert wurden.
Welche Branchen sind besonders gefährdet?
MOVEit Automation ist kein Produkt für Heimanwender. Es ist gezielt für Enterprise-Umgebungen entwickelt, die strenge Compliance-Anforderungen erfüllen müssen, und genau diese Umgebungen machen es zu einem besonders attraktiven Angriffsziel. Folgende Sektoren stehen im Fokus:
- Finanzdienstleister: Banken, Versicherer und Zahlungsanbieter nutzen MOVEit für die automatisierte Übertragung von Transaktionsdaten, Abrechnungen und regulatorischen Meldungen. Ein erfolgreicher Angriff bedeutet direkten Zugriff auf sensible Finanzdaten von Kunden und Geschäftspartnern.
- Gesundheitswesen: Krankenhäuser, Labore und Krankenkassen übertragen über MOVEit Patientendaten, Laborbefunde und Abrechnungsdaten. Diese Daten sind im Darknet besonders wertvoll, weil sie sich für Identitätsdiebstahl und Erpressung eignen.
- Behörden und kritische Infrastruktur: 2023 waren das US-Energieministerium, das Office of Personnel Management und mehrere Bundesbehörden unter den Opfern. In Deutschland fallen MOVEit-nutzende Behörden unter den Anwendungsbereich des KRITIS-Dachgesetzes.
- Unternehmensdienstleister: Steuerberater, Wirtschaftsprüfer (EY, PwC wurden 2023 getroffen) und Rechtsanwaltskanzleien verwalten hochsensible Mandantendaten, die über sichere Dateiübertragungskanäle ausgetauscht werden.
Besonders gefährlich ist das so genannte Downstream-Risiko: Wenn ein Dienstleister oder Outsourcing-Partner MOVEit betreibt und kompromittiert wird, sind auch alle Kunden dieses Dienstleisters betroffen. Im Fall Maximus, der 2023 mit 11,3 Millionen betroffenen Personen das größte Einzelopfer war, handelte es sich um genau dieses Muster: ein Outsourcing-Anbieter für US-Regierungsleistungen.
Deutschland und der DACH-Raum im Fokus
In Deutschland sind öffentlich nicht benannte Organisationen im Finanz- und Gesundheitssektor bekannte MOVEit-Nutzer. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat zu CVE-2026-4670 bisher keine eigene Warnmeldung herausgegeben, aber die allgemeine Empfehlung zur unverzüglichen Aktualisierung kritischer Software gilt uneingeschränkt. Organisationen, die unter das KRITIS-Dachgesetz fallen und MOVEit für Dateiübertragungen nutzen, sind verpflichtet, die Lücke im Rahmen ihrer Patch-Management-Prozesse zeitnah zu schließen.
Der Kontext macht die Bedrohung greifbarer: Wie das BKA in seinem Cybercrime-Lagebericht 2025 feststellte, richtete Cyberkriminalität in Deutschland 2024 einen Gesamtschaden von rund 202 Milliarden Euro an. Supply-Chain-Angriffe über Enterprise-Software wie MOVEit sind dabei eines der effektivsten Werkzeuge krimineller Gruppen, weil sie mit einem einzigen kompromittierten System Zugang zu Dutzenden von Opfern ermöglichen.
Österreichische und Schweizer Organisationen sind dem gleichen Risiko ausgesetzt. Die ENISA (Europäische Agentur für Cybersicherheit) hat in ihrem Threat Landscape 2025 Supply-Chain-Angriffe als eine der drei wichtigsten Bedrohungen für europäische Unternehmen eingestuft. MOVEit ist ein paradigmatisches Beispiel dafür, wie ein einzelnes verbreitetes Produkt zur Achillesferse ganzer Branchen werden kann.
Die Cl0p-Frage: Droht eine zweite Welle?
Die naheliegendste Frage ist: Wird Cl0p oder eine vergleichbare Ransomware-Gruppe CVE-2026-4670 ausnutzen, so wie sie 2023 CVE-2023-34362 ausgenutzt hat? Zum gegenwärtigen Zeitpunkt, dem 22. Juni 2026, gibt es keine öffentlichen Belege dafür, dass Cl0p oder ein anderer Bedrohungsakteur aktive Exploits gegen CVE-2026-4670 einsetzt.
Aber der Zeitfaktor ist entscheidend. 2023 hat Cl0p die Schwachstelle in MOVEit Transfer ausgenutzt, noch bevor Progress Software von der Lücke wusste. Im Jahr 2026 ist der Sachverhalt anders: Der Patch ist seit fast zwei Monaten verfügbar. Aber Bedrohungsakteure analysieren öffentlich bekannte CVEs mit CVSS 9.8 intensiv auf Reverse-Engineering-Möglichkeiten. Sobald ein Proof-of-Concept-Exploit öffentlich wird, beginnt typischerweise die Ausbeutungsphase durch kriminelle Gruppen.
Cl0p selbst hat sich 2024 und 2025 auf Angriffe über andere Dateiübertragungsprodukte konzentriert, darunter GoAnywhere MFT und Cleo Harmony. Das Muster dieser Gruppe ist klar: Sie investiert erhebliche Ressourcen in die Analyse von Enterprise-Dateiübertragungssoftware, weil ein einziger Zero-Day Zugang zu Hunderten von Opfern gleichzeitig ermöglicht. Es gibt keinen Grund, anzunehmen, dass dieser Ansatz 2026 nicht auf MOVEit Automation ausgeweitet werden könnte, wenn genug ungepatchte Instanzen verbleiben.
Timeline: Von der Entdeckung bis zum Patch
Die bekannte Chronologie der Ereignisse rund um CVE-2026-4670 und CVE-2026-5174 zeigt, wie eine koordinierte Offenlegung in der Praxis funktioniert:
- Frühjahr 2026: Anaïs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau vom Airbus SecLab identifizieren die Authentication-Bypass-Schwachstelle in MOVEit Automation bei internen Sicherheitsanalysen.
- Vor dem 30. April 2026: Airbus SecLab meldet die Schwachstellen privat an Progress Software (Responsible Disclosure). Das genaue Datum der Meldung ist öffentlich nicht bekannt.
- 30. April 2026: Progress Software veröffentlicht das Security Bulletin, die gepatchten Versionen (2024.1.8, 2025.0.9, 2025.1.5) und öffentliche CVE-Einträge. Keine Details zur Exploit-Technik werden veröffentlicht.
- Mai 2026: Sicherheitsforscher und Threat-Intelligence-Anbieter analysieren das Bulletin. Internet-Scans zeigen mehr als 1.400 öffentlich erreichbare Instanzen.
- 22. Juni 2026: Kein bestätigter Exploit in freier Wildbahn. Das Patch-Fenster ist seit fast zwei Monaten offen.
Was fehlt, ist die genaue Zeit zwischen Entdeckung und Meldung an Progress Software. Diese Information ist für die Risikobeurteilung relevant: Wenn Airbus SecLab die Lücke intern hatte, bevor sie gemeldet wurde, wäre in diesem Zeitraum theoretisch eine parallele Entdeckung durch Angreifer möglich gewesen. Die Tatsache, dass bis heute kein Exploit bekannt ist, deutet darauf hin, dass der Prozess sauber abgelaufen ist.
Sofortmaßnahmen für MOVEit-Betreiber
Für Organisationen, die MOVEit Automation betreiben, ist die Handlungsliste klar und priorisiert. Progress Software gibt als einzige vollständige Gegenmassnahme das Upgrade mit dem Full Installer an. Zusätzliche Maßnahmen können das Risiko bis zum Patch-Zeitpunkt reduzieren:
- Version prüfen: Sofortige Inventarisierung aller MOVEit-Automation-Instanzen und Versionsprüfung. Betroffen sind alle Versionen bis 2025.1.4, 2025.0.8 bzw. 2024.1.7.
- Patch einspielen: Upgrade auf 2025.1.5, 2025.0.9 oder 2024.1.8 mit dem Full Installer. Eine Wartungsunterbrechung ist einzuplanen.
- Backend-Command-Port isolieren: Den Service-Backend-Command-Port über Firewall-Regeln auf vertrauenswürdige interne IPs beschränken. Kein öffentlicher Zugriff auf diese Schnittstelle.
- Logs auswerten: Protokolle auf anomale Authentifizierungsversuche, unerwartete Zugriffsquellen und Privilege-Escalation-Muster prüfen. Verdächtige Aktivitäten vor dem 30. April 2026 sind besonders relevant.
- Netzwerksegmentierung überprüfen: MOVEit Automation sollte nicht direkt aus dem Internet erreichbar sein, sondern hinter einer WAF oder einem Reverse Proxy betrieben werden.
- Notfallkontakte aktivieren: Im DACH-Raum sind KRITIS-Betreiber verpflichtet, erhebliche Sicherheitsvorfälle dem BSI zu melden. Interne Incident-Response-Pläne sollten für den Ernstfall aktivierbar sein.
Ein wichtiger Punkt für den Betrieb: Progress Software empfiehlt ausdrücklich, keine alternativen Workarounds zu suchen. Es gibt keinen dokumentierten Weg, die Schwachstelle ohne den vollständigen Patch zu schließen. Wer versucht, das Problem über Konfigurationsänderungen zu lösen, riskiert eine falsche Sicherheitswahrnehmung.
Marktauswirkungen für Progress Software
Das zweite kritische MOVEit-Ereignis innerhalb von drei Jahren ist für Progress Software mehr als ein technisches Problem. Das Unternehmen, das MOVEit 2022 von Ipswitch übernahm, hat nach den 2023er-Breaches erhebliche Reputationsverluste erlitten. Zahlreiche Kunden haben seitdem alternative Produkte evaluiert, darunter IBM Aspera, GoAnywhere MFT, Axway, und Open-Source-Alternativen wie Nextcloud.
Die Tatsache, dass CVE-2026-4670 durch Responsible Disclosure gefunden wurde und kein Breach passiert ist, ist für Progress Software eine vergleichsweise gute Nachricht. Aber die Wiederholung kritischer Authentifizierungs-Schwachstellen in demselben Produkt wirft grundsätzliche Fragen zur Code-Qualität und zum Secure-Development-Lifecycle auf. Enterprise-Kunden in regulierten Branchen werden diese Fragen an ihre Vendor-Management-Prozesse stellen.
Der globale Markt für Managed File Transfer (MFT) hatte laut verfügbaren Branchenanalysen ein Volumen von rund 1,5 Milliarden US-Dollar im Jahr 2024 und wächst jährlich um etwa 8 Prozent. MOVEit ist eines der Marktführerprodukte. Ein weiterer großer Breach könnte Marktanteile dauerhaft verschieben, besonders in Europa, wo DSGVO-Compliance die Anforderungen an sichere Dateiübertragung nochmals verschärft.
Experten-Einschätzung: Was Sicherheitsverantwortliche jetzt tun sollten
Sicherheitsverantwortliche in deutschen Organisationen sollten CVE-2026-4670 nicht als theoretisches Risiko behandeln. Die Parallelen zur 2023er-Katastrophe sind zu offensichtlich, und die Ausgangssituation ist nicht komfortabel: Ein CVSS 9.8, keine Authentifizierung erforderlich, kein Benutzerinteraktion, volle Kontrolle über das betroffene System als Angriffsergebnis.
Progress Software hat klar kommuniziert: “No alternative mitigation is available.” Das ist eine seltene, aber wichtige Aussage. In vielen CVE-Bulletins gibt es temporäre Workarounds, die Zeit kaufen. Bei CVE-2026-4670 gibt es diese Option nicht. Das erhöht den Druck auf IT-Teams, Patching-Prioritäten entsprechend zu setzen.
Für Organisationen, die MOVEit Automation für kritische Business-Prozesse nutzen, aber das Patch-Fenster wegen Produktionsbeschränkungen nicht sofort öffnen können, empfehlen Sicherheitsexperten als temporäre Maßnahme die vollständige Deaktivierung des öffentlichen Zugriffs auf die MOVEit-Automation-Schnittstelle, bis das Upgrade eingespielt werden kann. Kein ungehinderter Datentransfer ist besser als ein kompromittiertes System.
5 Prognosen für die weitere Entwicklung
Basierend auf der Analyse der technischen Details und der historischen Entwicklung ergeben sich folgende Einschätzungen für die kommenden Monate:
- Proof-of-Concept-Exploit in Q3 2026: Sicherheitsforscher werden mit hoher Wahrscheinlichkeit in den nächsten Monaten einen PoC-Exploit für CVE-2026-4670 veröffentlichen, sobald genügend technische Details im öffentlichen Diskurs verfügbar sind. Das wird die Zahl der Angriffe auf ungepatchte Systeme erhöhen.
- Erste bestätigte Breaches bis September 2026: Organisations, die den Patch bis Ende Juli 2026 nicht eingespielt haben, riskieren, Opfer von Angriffen zu werden. Erfahrungswerte aus früheren Enterprise-Schwachstellen wie CVE-2023-34362 zeigen, dass ungepatchte Systeme typischerweise innerhalb von 60 bis 90 Tagen nach PoC-Veröffentlichung angegriffen werden.
- CISA fügt CVE-2026-4670 zum Known Exploited Vulnerabilities Catalog hinzu: Sobald erste aktive Exploits bestätigt sind, wird die US-Behörde die Schwachstelle in ihren KEV-Katalog aufnehmen, was auch für viele deutsche Organisationen mit US-Geschäftsbeziehungen bindende Auswirkungen hat.
- Progress Software investiert in strukturelle Codeüberprüfung: Nach zwei kritischen Auth-Bypass-Schwachstellen in MOVEit innerhalb von drei Jahren ist zu erwarten, dass Progress Software externe Penetrationstests und Code-Audits ausweitet, um das Kundenvertrauen zu sichern.
- BSI-Empfehlung für KRITIS-Betreiber: Das BSI wird voraussichtlich eine spezifische Warnung für kritische Infrastruktur herausgeben, sobald erste Exploits in der Praxis auftreten, ähnlich der Vorgehensweise bei Log4Shell und anderen Enterprise-Schwachstellen mit branchenweiter Relevanz.
Verwandte Berichterstattung
Weitere Artikel zu kritischen Schwachstellen und Cybersicherheit in Deutschland:
- Veeam Backup RCE: CVSS 9,9, 4x auf CISA KEV gelistet [2026]
- Langflow CVE-2026-33017: CVSS 9,3, KI-Pipelines in 20 Stunden kompromittiert [2026]
- BKA Cybercrime-Lagebericht 2025: 333.922 Fälle, 202 Mrd. € Schaden [2026]
- KRITIS-Dachgesetz 2026: 1 Mio. € Bußgeld, 17. Juli Deadline
- Check Point VPN Zero-Day: CVSS 9,3, Qilin Ransomware [2026]
FAQ: MOVEit Automation CVE-2026-4670
Was ist CVE-2026-4670?
CVE-2026-4670 ist eine kritische Authentication-Bypass-Schwachstelle (CVSS 9,8) in MOVEit Automation von Progress Software. Sie erlaubt nicht-authentifizierten Angreifern, die Zugangskontrolle des Systems über die Backend-Command-Port-Schnittstelle zu umgehen und vollen administrativen Zugriff zu erlangen.
Ist MOVEit Transfer ebenfalls betroffen?
CVE-2026-4670 und CVE-2026-5174 betreffen spezifisch MOVEit Automation, nicht MOVEit Transfer. Das sind zwei verschiedene Produkte im MOVEit-Portfolio. Das Bulletin von Progress Software vom 30. April 2026 bezieht sich ausschließlich auf Automation-Versionen. MOVEit Transfer-Nutzer sollten trotzdem regelmäßig das Progress Security Center auf aktuelle Advisories prüfen.
Wie patche ich mein System?
Das Upgrade auf die gepatchten Versionen (2024.1.8, 2025.0.9 oder 2025.1.5) muss mit dem Full Installer durchgeführt werden. Ein Patch-only-Update ist nicht ausreichend. Das System wird während der Installation offline sein. Progress Software stellt das Update über das reguläre Download-Portal für Kunden bereit.
Gibt es Hinweise auf aktive Angriffe?
Stand 22. Juni 2026 gibt es laut Progress Software keine bestätigten Exploits in der Praxis. Das kann sich aber schnell ändern, insbesondere wenn ein Proof-of-Concept-Exploit veröffentlicht wird. Die Erfahrung aus 2023 zeigt, dass MOVEit-Schwachstellen von Bedrohungsakteuren aggressiv ausgenutzt werden, sobald sie bekannt sind.
Muss ich den Vorfall dem BSI melden?
Wenn Ihre Organisation unter KRITIS oder das KRITIS-Dachgesetz 2026 fällt und Sie einen Sicherheitsvorfall im Zusammenhang mit CVE-2026-4670 feststellen, besteht eine Meldepflicht gegenüber dem BSI. Auch unter NIS2 (in deutsches Recht umgesetzt seit Dezember 2025) sind wesentliche und wichtige Einrichtungen verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden.
Was war der Schaden durch die MOVEit-Breaches 2023?
Die 2023er-MOVEit-Kampagne der Cl0p-Gruppe traf 2.773 bestätigte Organisationen und exponierte Daten von 95,8 Millionen Personen. Der geschätzte Gesamtschaden beläuft sich auf rund 15,8 Milliarden US-Dollar, berechnet auf Basis von IBM-Benchmark-Kosten pro betroffenem Datensatz. Zu den bekannten Opfern zählten Shell, British Airways, die BBC, EY, PwC und mehrere US-Bundesbehörden.
Welche Alternativen gibt es zu MOVEit Automation?
Zu den wichtigsten Alternativen im Enterprise-MFT-Markt gehören IBM Aspera, GoAnywhere MFT (Fortra), Axway Managed File Transfer und für DSGVO-konforme Cloud-Lösungen Nextcloud oder Tresorit. Jedes dieser Produkte hat eigene Sicherheitsprofile und sollte vor einer Migration gründlich evaluiert werden.
