4 maja 2026 Progress Software wydał komunikat bezpieczeństwa, w którym potwierdza istnienie dwóch krytycznych luk w platformie MOVEit Automation — narzędziu zarządzającym przepływami plików w setkach większych firm i instytucji na świecie. Pierwsza z podatności, oznaczona jako CVE-2026-4670, otrzymała ocenę 9.8 w dziesięciostopniowej skali CVSS i pozwala atakującemu przejść przez mechanizm uwierzytelnienia bez podawania jakichkolwiek poświadczeń. Druga, CVE-2026-5174, daje już zalogowanemu użytkownikowi możliwość podniesienia uprawnień. Połączenie obu błędów oznacza, że nieautoryzowany napastnik może zdobyć pełną administracyjną kontrolę nad instancją i — co ważne — nad poświadczeniami, które ta instancja przechowuje, żeby kontaktować się z innymi systemami w infrastrukturze.
Na czym polega problem
Obie luki znajdują się w interfejsie portu komend usługi backendowej MOVEit Automation. CVE-2026-4670 to błąd typu authentication bypass — exploit jest niskiej złożoności, nie wymaga uwierzytelnienia ani interakcji użytkownika. CVE-2026-5174 wynika z nieprawidłowej walidacji danych wejściowych i pozwala uwierzytelnionemu napastnikowi eskalować swoje uprawnienia do roli administracyjnej. Producent przyznaje wprost, że łańcuchowe wykorzystanie tych dwóch podatności prowadzi do administracyjnego przejęcia instancji MOVEit Automation, a co za tym idzie — do dostępu do haseł i kluczy zapisanych w taskach automatyzacji, do plików raportów, list płac, faktur, zestawień finansowych oraz do całej sieci firmowej, w której ta platforma jest osadzona.
Warto rozróżnić dwa produkty z rodziny: MOVEit Transfer to serwer do przechowywania i przesyłania plików, a MOVEit Automation to silnik workflow, który tymi przesyłami steruje według harmonogramu. To właśnie Automation, nie Transfer, jest podatne tym razem. Echa afery z 2023 roku, gdy grupa Cl0p wykorzystała SQL injection w MOVEit Transfer (CVE-2023-34362) i wykradła dane setkom firm na całym świecie, są jednak na tyle świeże, że każdy nowy alert dotyczący marki Progress traktuje się dziś znacznie poważniej niż przeciętną podatność enterprise.
Kto jest podatny
Błędy występują w MOVEit Automation w wersjach 2025.1.4 (17.1.4) i wcześniejszych, 2025.0.8 (17.0.8) i wcześniejszych oraz 2024.1.7 (16.1.7) i wcześniejszych. Łatki pojawiły się w wydaniach 2025.1.5, 2025.0.9 i 2024.1.8. Co istotne, Progress wprost stwierdza, że jedyną drogą naprawy jest aktualizacja przy użyciu pełnego instalatora, a nie binarnej łatki czy konfiguracyjnej obejścia. Podczas upgrade’u system będzie niedostępny, więc administratorzy muszą wpisać sobie okno serwisowe — najlepiej zaraz, bo wektor ataku jest atrakcyjny dla każdego, kto zechce wsiąść do tej fali.
Podatności zgłosili prywatnie badacze z Airbusa i jak dotąd nie ma publicznego dowodu na to, że ktoś wykorzystuje je w naturalnym środowisku. Producent ani Airbus nie opublikowali też technicznych szczegółów ataku. To jednak żadne pocieszenie — w 2023 roku też nie było szczegółów, dopóki Cl0p nie zaczął masowo atakować, a od momentu publikacji informacji o łatce do pojawienia się działającego proof-of-concept potrafią minąć dziś zaledwie godziny.
Co zrobić od razu
Pierwsze i absolutnie najważniejsze działanie to aktualizacja wszystkich instancji MOVEit Automation do wersji 2025.1.5, 2025.0.9 albo 2024.1.8 — w zależności od używanej gałęzi. Dopóki to się nie wydarzy, warto ograniczyć dostęp sieciowy do portów komend usługi backendowej tylko do zaufanych adresów IP, najlepiej przez firewall albo VPN, i monitorować logi audytu pod kątem nieoczekiwanej eskalacji uprawnień, niespodziewanego logowania administratorów oraz nietypowej aktywności na zadaniach automatyzacji. Sam producent wskazuje, że właśnie te symptomy w logach mogą sugerować, iż ktoś wykorzystał CVE-2026-4670 zanim łatka została wdrożona.
Po aktualizacji konieczna jest rotacja wszystkich poświadczeń przechowywanych w taskach MOVEit Automation — kluczy SFTP, haseł do baz danych, tokenów API integracji z systemami ERP, CRM czy księgowymi. Atakujący, który zdążył uzyskać dostęp przed łatką, w pierwszej kolejności wyciąga właśnie te poświadczenia, bo dają mu pivot do reszty środowiska. Warto też przejrzeć harmonogramy zadań pod kątem tasków, których nikt z administratorów nie pamięta, że tworzył — to klasyczna lokalizacja na dopisany przez napastnika eksfiltracyjny workflow.
Z perspektywy klienta
Jeżeli korzystacie z MOVEit Automation jako klient — czy to bezpośrednio, czy w ramach usługi prowadzonej przez integratora — zapytajcie wprost o numer wersji, którą macie wdrożoną, oraz o termin instalacji łatki. Brak konkretnej odpowiedzi w ciągu kilku dni roboczych powinien zapalić czerwoną lampkę. Sprawdźcie też, jakie dane przepływają przez tę platformę, bo w razie incydentu to właśnie ich potencjalny wyciek będzie pierwszym pytaniem regulatora i klientów. W praktyce MOVEit Automation często obsługuje listy płac, raporty finansowe i zlecenia bankowe — czyli dokładnie te kategorie informacji, których nie można sobie pozwolić zgubić.
Podsumowanie
CVE-2026-4670 i CVE-2026-5174 nie są jeszcze potwierdzonymi exploitami in-the-wild, ale ich charakterystyka — niska złożoność, brak wymogu uwierzytelnienia, pełne przejęcie instancji oraz historia produktu — oznacza, że należy traktować je jak zegar tykający w trybie odliczania. Każdy dzień zwłoki z aktualizacją to dzień, w którym automatyzacja przesyłu wrażliwych plików stoi otworem dla nieautoryzowanego administratora. Lekcja z 2023 roku jest prosta: rodzina MOVEit przyciąga uwagę bardzo zdolnych grup, a krytyczne luki w niej mają tendencję do uderzania szybko, masowo i bez ostrzeżenia.