{"id":302,"date":"2026-06-22T00:00:00","date_gmt":"2026-06-21T20:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=302"},"modified":"2026-06-22T04:20:49","modified_gmt":"2026-06-22T04:20:49","slug":"moveit-automation-cve-2026-4670-cvss-9-8-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/22\/moveit-automation-cve-2026-4670-cvss-9-8-2026\/","title":{"rendered":"MOVEit Automation CVE-2026-4670: CVSS 9,8, 1.400 Instanzen gef\u00e4hrdet [2026]"},"content":{"rendered":"\n

Eine kritische Sicherheitsl\u00fccke mit einem CVSS-Score von 9,8 bedroht weltweit mehr als 1.400 \u00f6ffentlich erreichbare MOVEit-Automation-Instanzen. Progress Software schloss CVE-2026-4670<\/strong> und die damit verkettete Privilege-Escalation-L\u00fccke CVE-2026-5174<\/strong> am 30. April 2026 mit einem Notch-Patch, doch Experten warnen: Wer noch nicht aktualisiert hat, spielt mit dem Feuer. Der Grund: MOVEit ist exakt dasselbe Produkt, das die Cl0p-Ransomware-Gruppe 2023 f\u00fcr den verheerenden Angriff auf 2.773 Organisationen und 95,8 Millionen Personen nutzte.<\/p>\n\n\n\n

Entdeckt wurden die L\u00fccken von vier Sicherheitsforschern des Airbus SecLab<\/strong>: Ana\u00efs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau. Ihr Fund kommt zu einem Zeitpunkt, an dem viele Unternehmen im DACH-Raum gerade erst die NIS2-Umsetzung und das KRITIS-Dachgesetz in ihre Compliance-Prozesse integrieren, und zeigt, wie eng der Spielraum zwischen Patch-Release und aktivem Exploit sein kann.<\/p>\n\n\n\n

Was ist CVE-2026-4670 in MOVEit Automation?<\/h2>\n\n\n\n

MOVEit Automation ist ein Enterprise-Produkt von Progress Software f\u00fcr die automatisierte, SFTP- und API-gest\u00fctzte Datei\u00fcbertragung in regulierten Umgebungen, das vor allem im Finanz-, Gesundheits- und Beh\u00f6rdensektor eingesetzt wird. Die Schwachstelle CVE-2026-4670<\/strong> erm\u00f6glicht es einem nicht authentifizierten Angreifer, die Authentifizierungspr\u00fcfungen des Produkts vollst\u00e4ndig zu umgehen. Der Angriff erfolgt \u00fcber die internen Backend-Command-Port-Schnittstellen der MOVEit-Automation-Service-Komponente, die normalerweise nur f\u00fcr interne Prozesse erreichbar sind.<\/p>\n\n\n\n

Progress Software beschreibt die Schwachstelle in seinem Security Advisory so: “Critical and high vulnerabilities in MOVEit Automation may allow authentication bypass and privilege escalation through the service backend command port interfaces. Exploitation may lead to unauthorized access, administrative control, and data exposure.”<\/em> Der Hersteller betont, dass es “no confirmed exploits in the wild”<\/em> gibt, aber gleichzeitig: “Upgrading to a patched release, using the full installer, is the only way to remediate this issue.”<\/em><\/p>\n\n\n\n

Die zweite Schwachstelle, CVE-2026-5174<\/strong>, betrifft eine fehlerhafte Eingabevalidierung und erlaubt eine Privilege Escalation. F\u00fcr sich allein erfordert sie authentifizierten Zugriff, doch in Kombination mit CVE-2026-4670 bildet sie eine gef\u00e4hrliche Angriffskette: Der Angreifer umgeht zuerst die Authentifizierung, eskaliert dann seine Rechte und erlangt so administrative Kontrolle \u00fcber das gesamte Dateitransfer-System.<\/p>\n\n\n\n

Technische Analyse: Wie der Angriff funktioniert<\/h2>\n\n\n\n

Der Backend-Command-Port in MOVEit Automation ist eigentlich f\u00fcr interne Service-Kommunikation vorgesehen, etwa f\u00fcr die Verarbeitung automatisierter Datei\u00fcbertragungs-Workflows. CVE-2026-4670 erm\u00f6glicht es einem externen Angreifer, diesen Port anzusprechen und dabei Authentifizierungskontrollen zu \u00fcberspringen. Die technische Klassifizierung lautet CWE-288: Authentication Bypass Using an Alternate Path or Channel<\/strong>.<\/p>\n\n\n\n

Was den CVSS-Score von 9,8 rechtfertigt, ist die Kombination aus mehreren Faktoren: Der Angriff ben\u00f6tigt keine vorherigen Anmeldedaten, keine Benutzerinteraktion und keine lokale Pr\u00e4senz. Damit erf\u00fcllt CVE-2026-4670 alle Kriterien f\u00fcr einen Remote-Code-Execution-Angriff der schwersten Kategorie. Die Angriffsvektoren sind im CVSS-V3.1-Vector CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/code> abgebildet.<\/p>\n\n\n\n

Sicherheitsexperten von Rapid7 ordnen solche Command-Port-Schwachstellen als besonders gef\u00e4hrlich ein, weil sie in der Praxis oft schwer zu erkennen sind: Webserver-Logs und herk\u00f6mmliche WAF-Regeln decken die betroffene Service-Schnittstelle h\u00e4ufig nicht ab. Das bedeutet, dass ein erfolgreicher Angriff auf CVE-2026-4670 in einer ungepatchten Umgebung f\u00fcr Wochen oder Monate unentdeckt bleiben kann.<\/p>\n\n\n\n

Betroffene Versionen und offizieller Patch<\/h2>\n\n\n\n

Progress Software hat in seinem Security Bulletin vom 30. April 2026 die betroffenen Versionen und die jeweiligen Fixes klar aufgelistet. Wer noch auf einer der folgenden Versionen l\u00e4uft, ist akut gef\u00e4hrdet:<\/p>\n\n\n\n

Betroffene Version<\/th>CVE-2026-4670<\/th>CVE-2026-5174<\/th>Fix-Version<\/th>Release-Datum<\/th><\/tr><\/thead>
MOVEit Automation 2025.1.4 und fr\u00fcher<\/td>Betroffen<\/td>Betroffen<\/td>2025.1.5<\/td>30. April 2026<\/td><\/tr>
MOVEit Automation 2025.0.8 und fr\u00fcher<\/td>Betroffen<\/td>Betroffen<\/td>2025.0.9<\/td>30. April 2026<\/td><\/tr>
MOVEit Automation 2024.1.7 und fr\u00fcher<\/td>Betroffen<\/td>Betroffen<\/td>2024.1.8<\/td>30. April 2026<\/td><\/tr>
MOVEit Automation vor 2024.0.0<\/td>Betroffen<\/td>Betroffen<\/td>Upgrade auf 2024.1.8+ erforderlich<\/td>30. April 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Progress Software betont einen kritischen Punkt: Das Einspielen des Patches erfordert den Full Installer<\/strong>, nicht nur ein Delta-Update. Das bedeutet, dass der MOVEit-Automation-Service w\u00e4hrend der Installation offline geht. F\u00fcr Organisationen, die MOVEit f\u00fcr zeitkritische Datei\u00fcbertragungen nutzen, muss das Patch-Fenster sorgf\u00e4ltig geplant werden. Ein partial update oder ein manuelles Hotfix reichen nicht aus, um die L\u00fccke zu schlie\u00dfen.<\/p>\n\n\n\n

Airbus SecLab: Die Forscher, die die L\u00fccke fanden<\/h2>\n\n\n\n

Hinter der Entdeckung von CVE-2026-4670 und CVE-2026-5174 steckt das Airbus SecLab<\/strong>, die interne Sicherheitsforschungsabteilung des europ\u00e4ischen Luft- und Raumfahrtkonzerns. Die vier verantwortlichen Forscher, Ana\u00efs Gantet, Delphine Gourdou, Quentin Liddell und Matteo Ricordeau<\/strong>, meldeten die Schwachstellen Progress Software privat (Responsible Disclosure), bevor der Patch am 30. April 2026 ver\u00f6ffentlicht wurde.<\/p>\n\n\n\n

Das Airbus SecLab ist bekannt f\u00fcr gezielte Sicherheitsforschung an Enterprise-Software, die in sicherheitskritischen Umgebungen eingesetzt wird, also genau dem Anwendungsbereich, in dem MOVEit Automation verbreitet ist. Der Umstand, dass Airbus-eigene Forscher diese L\u00fccke gefunden haben, zeigt, wie ernst der Konzern die Sicherheit der Software-Lieferkette nimmt, auf die seine eigenen Systeme angewiesen sind.<\/p>\n\n\n\n

Die koordinierte Offenlegung ist positiv zu bewerten: Durch den Responsible-Disclosure-Prozess konnte Progress Software einen Patch bereitstellen, bevor Details \u00f6ffentlich wurden. Das steht in scharfem Kontrast zu 2023, als Cl0p CVE-2023-34362 aktiv ausgenutzt hatte, bevor Progress Software \u00fcberhaupt von der Schwachstelle wusste. Damals war es ein echter Zero-Day, der von kriminellen Akteuren im Voraus beschafft wurde.<\/p>\n\n\n\n

1.400 exponierte Instanzen: Das globale Risikoprofil<\/h2>\n\n\n\n

Internet-weite Scans zeigen, dass zum Zeitpunkt der Patch-Ver\u00f6ffentlichung am 30. April 2026 mehr als 1.400 MOVEit-Automation-Instanzen \u00f6ffentlich erreichbar<\/strong> waren. Nicht alle davon liefen zwingend auf ungepatchten Versionen, aber die Zahl illustriert das potenzielle Angriffsfl\u00e4che. MOVEit-Transfer-Instanzen (das separate Produkt) kommen noch hinzu.<\/p>\n\n\n\n

Besonders brisant ist, dass MOVEit-Produkte typischerweise in Hochrisikoumgebungen eingesetzt werden: Krankenh\u00e4user \u00fcbertragen Patientendaten, Finanzdienstleister bewegen Zahlungsdaten, Beh\u00f6rden handhaben B\u00fcrgerinformationen. Jede dieser Instanzen ist ein potenzielles Einfallstor, wenn sie nicht gepatcht wird. Und der Window-of-Exposure, also die Zeit zwischen Patch-Release und vollst\u00e4ndig implementiertem Update, ist erfahrungsgem\u00e4\u00df bei Enterprise-Software l\u00e4nger als bei Consumer-Produkten: Interne Genehmigungsprozesse, Wartungsfenster und Kompatibilit\u00e4tstests verz\u00f6gern Patches oft um Wochen.<\/p>\n\n\n\n

Sicherheitsforscher von Emsisoft, die 2023 die MOVEit-Breaches systematisch dokumentierten, warnten bereits damals, dass der Wert \u00f6ffentlich exponierter Instanzen ein schlechter Indikator f\u00fcr das tats\u00e4chliche Risiko ist: Viele MOVEit-Systeme sind hinter Firewalls oder in DMZ-Architekturen versteckt, k\u00f6nnen aber trotzdem \u00fcber kompromittierte Netzwerke erreicht werden. Die 1.400 Instanzen sind also eine Untergrenze, kein Gesamtbild.<\/p>\n\n\n\n

Der gro\u00dfe Vergleich: 2023 vs. 2026<\/h2>\n\n\n\n

Um das Risiko von CVE-2026-4670 einzusch\u00e4tzen, ist der Blick auf das Jahr 2023 unvermeidlich. Damals nutzte die Cl0p-Ransomware-Gruppe die Schwachstelle CVE-2023-34362 in MOVEit Transfer aus und l\u00f6ste eine Kaskade von Datenschutzverletzungen aus, die als eines der schwersten Supply-Chain-Ereignisse der Geschichte gilt.<\/p>\n\n\n\n

Faktor<\/th>2023: CVE-2023-34362 (MOVEit Transfer)<\/th>2026: CVE-2026-4670 (MOVEit Automation)<\/th><\/tr><\/thead>
CVSS-Score<\/td>9,8 (Kritisch)<\/td>9,8 (Kritisch)<\/td><\/tr>
Schwachstellentyp<\/td>Auth-Bypass via SQL Injection<\/td>Auth-Bypass via Backend-Command-Port<\/td><\/tr>
Betroffene Organisationen<\/td>2.773 (best\u00e4tigt, Stand Juni 2024)<\/td>0 best\u00e4tigt (1.400+ exponiert)<\/td><\/tr>
Betroffene Personen<\/td>95.788.491<\/td>Noch keine<\/td><\/tr>
Gesch\u00e4tzter Gesamtschaden<\/td>15,8 Milliarden US-Dollar<\/td>Noch nicht bezifferbar<\/td><\/tr>
Angreifer-Gruppe<\/td>Cl0p (Russland-affiliiert)<\/td>Keine bekannten Angreifer<\/td><\/tr>
Zero-Day-Fenster<\/td>Mindestens 4 Tage (27.\u201331. Mai 2023)<\/td>Kein Zero-Day (Responsible Disclosure)<\/td><\/tr>
Exploit-Status<\/td>Aktiv ausgenutzt vor dem Patch<\/td>Kein bekannter Exploit (Stand: 22. Juni 2026)<\/td><\/tr>
Entdeckung durch<\/td>Kriminelle Akteure<\/td>Airbus SecLab (koordiniert)<\/td><\/tr>
Bekannte Opfer<\/td>Shell, British Airways, US DoE, BBC, EY, PwC<\/td>Keine best\u00e4tigt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Der Unterschied zwischen 2023 und 2026 ist strukturell entscheidend: Damals war es ein echter Zero-Day, der von Cl0p aktiv ausgenutzt wurde, bevor Progress Software den Patch bereitstellen konnte. Diesmal haben Airbus-Forscher die Schwachstelle verantwortungsvoll gemeldet, sodass ein Patch verf\u00fcgbar ist, bevor Kriminelle die L\u00fccke ausnutzen konnten. Das gibt Unternehmen und Beh\u00f6rden ein Zeitfenster, das 2023 nicht existierte.<\/p>\n\n\n\n

Aber die Geschichte zeigt auch: Die L\u00fccke zu kennen und sie zu schlie\u00dfen sind zwei verschiedene Dinge. Im Jahr 2023 dauerte es Monate, bis alle betroffenen Organisationen gepatcht hatten. Manche wurden erst im Herbst 2023 informiert, dass ihre Daten bereits abgeflossen waren. Genau dieses Risiko besteht auch 2026, solange nicht alle 1.400+ Instanzen auf die gepatchten Versionen aktualisiert wurden.<\/p>\n\n\n\n

Welche Branchen sind besonders gef\u00e4hrdet?<\/h2>\n\n\n\n

MOVEit Automation ist kein Produkt f\u00fcr Heimanwender. Es ist gezielt f\u00fcr Enterprise-Umgebungen entwickelt, die strenge Compliance-Anforderungen erf\u00fcllen m\u00fcssen, und genau diese Umgebungen machen es zu einem besonders attraktiven Angriffsziel. Folgende Sektoren stehen im Fokus:<\/p>\n\n\n\n