CVE-2026-4670 (CVSS 9,8): authentication bypass v rozhraních servisního backend portu. Útočník bez platných přihlašovacích údajů může komunikací s portem získat administrativní přístup k systému. Po průniku má kontrolu nad konfigurací automatizovaných přenosů, může vytvářet nové úlohy, modifikovat cílové systémy a procházet všechna data, která mají být přenesena. Pro útočníka jde o ideální výchozí pozici k bočnímu pohybu v síti i k cílenému odběru citlivých informací.

CVE-2026-5174 (CVSS 7,7): improper input validation umožňující eskalaci oprávnění. Sama o sobě závažnost, kterou by velký podnik při běžné prioritizaci řešil v rámci kvartálního cyklu. V kombinaci s CVE-2026-4670 ale nabízí útočníkovi snadné rozšíření kontroly z administrace na systémovou úroveň, což pak otevírá cestu k modifikaci samotného hostitelského operačního systému.

Záplaty jsou k dispozici pro všechny aktuálně podporované linie produktu. Postižené verze jsou MOVEit Automation 2025.1.4 (oprava ve verzi 2025.1.5), 2025.0.8 (oprava ve verzi 2025.0.9) a 2024.1.7 (oprava ve verzi 2024.1.8). Provozovatelé starších verzí by měli zkontrolovat, zda jejich linka zákaznické podpory zahrnuje vydaný hotfix, případně co nejrychleji přejít na podporovanou linii.

Progress v advisory upozorňuje, že pro popsané problémy neexistuje žádné dočasné řešení (workaround). Aplikace patche je tedy jediným způsobem, jak riziko odstranit. Zranitelnosti objevili a oznámili výzkumníci ze SecLab firmy Airbus Anaïs Gantet, Delphine Gourdou, Quentin Liddell a Matteo Ricordeau – jde tedy o standardní coordinated disclosure, ne o nález po útoku.

Progress v okamžiku publikace neuvádí, že by chyby byly aktivně zneužívány. Vzhledem k historii MOVEit produktové rodiny ale lze očekávat, že útočníci si advisory pečlivě přečtou a v krátkém čase nasadí pokusné exploity. Společnost proto doporučuje aplikovat aktualizace co nejdříve – ideálně do několika dní, ne týdnů.

Identifikujte všechny instance MOVEit Automation v infrastruktuře (interní servery i instance v DMZ). Ověřte přesnou verzi a porovnejte ji s tabulkou postižených verzí. Naplánujte aplikaci patche v souladu s pravidly pro řízení změn – u kritické infrastruktury obvykle s předchozím otestováním na neprodukčním prostředí. Zkontrolujte, zda servisní backend port není zbytečně dostupný z internetu nebo z méně důvěryhodných segmentů sítě – pokud ano, omezte přístup pomocí firewallu nebo VPN. Ověřte, zda v nejbližší minulosti nedošlo k podezřelé administrativní aktivitě (vznik nových úloh, neobvyklý přesun dat) – to může indikovat, zda byl exploit již použit.

Je vhodné ověřit, zda dotčená rozhraní obsluhuje pouze interní síť a zda jsou veškeré přenosové úlohy řádně logovány do nezávislého úložiště. Pokud by k incidentu došlo, takto zachycený audit usnadní rekonstrukci toho, jaká data útočník mohl odnést.

The Hacker News