Компанията Progress Software алармира за критична уязвимост в продукта MOVEit Automation, използван за автоматизирано управление на файлови процеси в корпоративни среди. Проблемът позволява заобикаляне на автентикацията и засяга версии преди 2025.1.5, 2025.0.9 и 2024.1.8.

Уязвимостта, проследена като CVE-2026-4670, може да бъде експлоатирана дистанционно без привилегии и без взаимодействие с потребителя, което я поставя в категорията на високорисковите уязвимости с ниска сложност на атака.

Двойна заплаха: привилегии и неправилна валидация

В същия ден е публикувана и втора уязвимост – CVE-2026-5174, свързана с повишаване на привилегии чрез неправилна валидация на входни данни. Комбинацията от двете уязвимости създава сценарий, при който атакуващ може да премине от външен достъп до контрол върху системата.

MOVEit Automation е централен оркестратор за файлови процеси между локални системи, облачни услуги и външни партньори. Именно тази роля го прави стратегическа цел – компромисът не засяга само една система, а цялата верига на обмен на данни.

Масова експозиция в интернет

Според анализи, базирани на Shodan, над 1400 инстанции на MOVEit Automation са директно изложени онлайн. Част от тях са свързани с държавни структури в САЩ, включително местни и щатски администрации.

Критичният проблем обаче е, че няма публична яснота колко от тези системи вече са актуализирани, което оставя значителна част от инфраструктурата в потенциално уязвимо състояние.

Защо MFT системите са високорискова цел

Софтуерът за Managed File Transfer (MFT) е честа цел за киберпрестъпни групи, защото концентрира чувствителни данни и автоматизира обмена им между организации.

Исторически това се потвърждава от редица атаки, включително кампании на групата Clop ransomware group, която експлоатира уязвимости в различни MFT платформи като Accellion, GoAnywhere и други. Тези атаки често водят до масови изтичания на данни, а не просто до локални компромиси.

Повтарящ се модел: централизирани системи като единична точка на провал

MOVEit Automation се използва от хиляди организации и десетки хиляди потребители, което означава, че една уязвимост може да има каскаден ефект върху множество сектори едновременно.

Това го поставя в категорията на системи с висок системен риск, където компромисът не е локален инцидент, а потенциално верижна реакция в множество организации.

Основният извод: централизираният трансфер е критична повърхност за атака

Случаят с MOVEit отново показва, че системите за автоматизиран обмен на данни са сред най-атрактивните цели за атакуващи. Причината не е само техническа, а архитектурна – те концентрират достъп до множество външни и вътрешни системи.

В комбинация с директна интернет експозиция, липса на навременни ъпдейти и исторически интерес от ransomware групи, този клас платформи остава една от най-критичните точки в корпоративната киберсигурност.