CVE-2023-34362, CVSS 9.8 — Die Cl0p-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle in MOVEit Transfer aus und kompromittierte über 2.600 Organisationen weltweit, darunter BBC, British Airways und Bundesbehörden.
Was ist MOVEit Transfer?
MOVEit Transfer ist eine Enterprise-Software des US-Herstellers Progress Software (früher Ipswitch) für den sicheren, nachverfolgbaren Dateitransfer. Die Software wird von tausenden Unternehmen, Behörden und Gesundheitseinrichtungen weltweit eingesetzt — vor allem dort, wo regulatorische Anforderungen (DSGVO, HIPAA, SOX) den sicheren Transfer sensibler Daten vorschreiben.
Genau diese Vertrauensstellung machte MOVEit Transfer zum idealen Angriffsziel.
Die Schwachstelle: CVE-2023-34362
CVE-2023-34362 ist eine SQL-Injection-Schwachstelle in der Webanwendung von MOVEit Transfer. CVSS-Score: 9.8 (kritisch). Über eine nicht sanitisierte Datenbankabfrage konnten Angreifer ohne Authentifizierung auf die Datenbank zugreifen und anschließend beliebige Dateien aus dem System herunterladen.
Technisch ermöglichte die Schwachstelle zwei Schritte:
- Authentication Bypass: Durch manipulierte SQL-Abfragen umging Cl0p das Login-System und erstellte sich Administrator-Sessions
- Dateiexfiltration: Mit Administrator-Rechten wurden alle gespeicherten Dateien systematisch heruntergeladen, bevor der Angriff erkannt wurde
# Vereinfachte Darstellung des SQL-Injection-Vektors (zur Aufklärung)
# Angreifer manipuliert den Session-Token-Parameter:
POST /guestaccess.aspx HTTP/1.1
# Präparierter Parameter ermöglicht SQL-Execution ohne LoginProgress Software veröffentlichte am 31. Mai 2023 eine Security Advisory und Patches. Laut Analyse von Mandiant hatte Cl0p die Schwachstelle jedoch bereits ab dem 27. Mai 2023 aktiv ausgenutzt — als Zero-Day, also bevor Progress überhaupt von der Lücke wusste.
„Cl0p hat die Lücke als Zero-Day ausgenutzt. Die Gruppe hat in wenigen Stunden automatisiert tausende MOVEit-Instanzen gescannt und kompromittiert."
— Mandiant Threat Intelligence, Juni 2023
Wer ist Cl0p?
Cl0p (auch: CL0P, TA505, FIN11) ist eine russischsprachige Cyberkriminellen-Gruppe, die seit 2019 aktiv ist. Die Gruppe ist bekannt für:
- Massive Supply-Chain-Angriffe: Cl0p zielt gezielt auf Infrastruktur-Software ab, die von vielen Unternehmen gleichzeitig genutzt wird (Accellion FTA 2021, GoAnywhere MFT 2023, MOVEit 2023)
- Data Extortion statt Verschlüsselung: Seit 2021 bevorzugt Cl0p reinen Datendiebstahl ohne Ransomware-Einsatz — dies vermeidet Betriebsunterbrechungen und damit sofortige Entdeckung
- Öffentliche Erpressung: Opfer werden auf einer Darknet-Leak-Seite veröffentlicht, wenn sie nicht zahlen
Ausmaß: 2.600+ Organisationen, 77+ Millionen Menschen
Laut einer Analyse von Emsisoft (Stand Dezember 2023) wurden durch den MOVEit-Angriff:
- 2.620+ Organisationen direkt oder indirekt kompromittiert
- 77+ Millionen Personen durch gestohlene Daten betroffen
Zu den bestätigten Opfern gehören (Auswahl):
- Medien & Transport: BBC, British Airways
- Gesundheit: Mehrere US-amerikanische Krankenkassen und Krankenhäuser
- Dienstleister: Zellis (Gehaltsabrechnungsanbieter für u.a. British Airways, BBC, Boots), Aon, PwC, EY
- US-Behörden: US-Energieministerium (DOE), Department of Health and Human Services
- Universität: Johns Hopkins University, Louisiana State University
Reaktion: Patches und Folgeangriffe
Progress Software veröffentlichte nach dem initialen Patch weitere Sicherheitsupdates für nachgelagerte Schwachstellen:
- CVE-2023-34362 (31. Mai 2023): Initialer Zero-Day — Patch in Version 2023.0.4
- CVE-2023-35036 (9. Juni 2023): Weitere SQL-Injection — Patch umgehend notwendig
- CVE-2023-35708 (15. Juni 2023): Dritte Schwachstelle innerhalb von zwei Wochen
Die US-Regierung stufte MOVEit-Angriffe als Bedrohung nationaler Infrastruktur ein. Das State Department bot über das Rewards for Justice Programm 10 Millionen USD für Hinweise auf die Cl0p-Führung.
Was IT-Teams daraus lernen müssen
- File-Transfer-Systeme sind hochpriorisierte Angriffsziele: Dienste, die für den Transfer sensibler Daten genutzt werden, sind exponiert und werden gezielt angegriffen. Regelmäßige Penetrationstests und schnelle Patch-Reaktion sind Pflicht.
- Zero-Day-Schutz durch Defense in Depth: Wenn ein Zero-Day ausgenutzt wird, sind Netzwerksegmentierung, ausgehendes Traffic Monitoring und Data Loss Prevention (DLP) die einzigen wirksamen Gegenmaßnahmen.
- Drittanbieter-Risiken systematisch managen: Viele Betroffene waren nicht direkte MOVEit-Nutzer, sondern Kunden von Dienstleistern wie Zellis. Third-Party Risk Management (TPRM) muss alle genutzten SaaS- und Software-Lieferanten umfassen.
- Incident Response Playbook für Datenexfiltration: Die sofortige Identifikation welche Daten betroffen waren, ist entscheidend für DSGVO-Meldepflichten (72-Stunden-Frist an Aufsichtsbehörde).
Häufige Fragen
War MOVEit ein Ransomware-Angriff?
Nein — trotz der Zuschreibung an die Cl0p-Ransomware-Gruppe wurde beim MOVEit-Angriff keine Verschlüsselung eingesetzt. Cl0p beschränkte sich auf Datendiebstahl und Erpressung (sog. Data Extortion / Double Extortion ohne Encryption). Dies macht den Vorfall zu einem reinen Datenpanne-Szenario.
Welche deutschen Organisationen waren betroffen?
Direkt bestätigt wurde Aon Deutschland. Weitere deutsche Unternehmen nutzten MOVEit Transfer oder waren indirekt über Dienstleister (z.B. Zellis Payroll) betroffen. Das BSI hat eine Warnung herausgegeben und zur Überprüfung aufgerufen. Aufgrund von Meldeschwellen wurden nicht alle deutschen Betroffenen öffentlich bekannt.
Wie erkenne ich ob meine Daten betroffen waren?
Cl0p veröffentlichte Listen der Opferorganisationen auf seiner Leak-Seite im Darknet. Überprüfen Sie ob Ihre Organisation oder ein genutzter Dienstleister MOVEit Transfer eingesetzt hat. Nutzen Sie Have I Been Pwned (haveibeenpwned.com) für eine Prüfung Ihrer E-Mail-Adresse.
Was ist der aktuelle Stand?
US-Behörden (State Department Rewards for Justice) boten 10 Millionen USD Belohnung für Hinweise auf die Cl0p-Führung. Stand 2024 wurden mehrere mutmaßliche Cl0p-Mitglieder in Ukraine und Deutschland verhaftet. Der Fall wird weiterhin international verfolgt.