Nog een MOVEit-kwetsbaarheid. Zelfde patroon. Andere inzet.

Op 30 april 2026 maakte Progress Software twee kwetsbaarheden bekend in MOVEit Automation, de workflow- en planningsengine die door duizenden organisaties wordt gebruikt om enterprise bestandsoverdracht te automatiseren. De National Vulnerability Database vermeldingen gingen dezelfde dag live. Het vendor-advies verscheen in de Progress Customer Community. Beveiligingsteams die MOVEit Automation gebruiken, bevinden zich nu in een noodpatchcyclus.

Belangrijkste inzichten

1. Twee kritieke bugs, één bekende productfamilie. Progress Software maakte op 30 april 2026 CVE-2026-4670 (CVSS 9.8) en CVE-2026-5174 (CVSS 8.8 NIST/7.7 CNA) bekend in MOVEit Automation. In combinatie stellen ze een aanvaller in staat om van geen toegang naar volledige administratieve controle te gaan.
2. Er is geen workaround. Herstel vereist een upgrade naar MOVEit Automation 2025.1.5, 2025.0.9 of 2024.1.8 met de volledige installer. Het systeem moet tijdens de upgrade offline.
3. Nog geen bevestigde exploitatie. Progress meldt dat er op het moment van disclosure geen exploitatie in het wild is vastgesteld. De MOVEit Transfer-campagne van 2023 begon vier dagen vóór de publieke bekendmaking. Patchvensters zijn niet langer geworden.
4. Dit is het patroon, niet de uitzondering. Cleo, CrushFTP, Wing FTP en nu MOVEit Automation. Beheerde bestandsoverdrachtsoftware is een structureel doelwit geworden omdat het aan de rand van het netwerk staat en de meest waardevolle data bevat.
5. De architecturale vraag is de echte. Elke extra MFT-kwetsbaarheid is een aparte brandmelding. Consolidatie op één gehard, single-tenant data-uitwisselingsplatform verandert de rekensom.

De belangrijkste MOVEit-kwetsbaarheid is CVE-2026-4670, een authentication bypass in MOVEit Automation die door NIST wordt beoordeeld met CVSS 9.8 – de maximale ernstcategorie voor een remote kwetsbaarheid. De tweede, CVE-2026-5174, is een fout in onjuiste inputvalidatie die NIST waardeert met CVSS 8.8 High en Progress (als CNA) met CVSS 7.7. Beide bevinden zich in de service backend command port interfaces. Samen creëren ze een pad van niet-geauthenticeerde netwerktoegang naar administratieve controle over de MOVEit Automation-omgeving. Progress benoemt de voor de hand liggende implicatie direct: “Exploitatie kan leiden tot ongeautoriseerde toegang, administratieve controle en data-exposure.”

De ontdekking is toegekend aan onderzoekers Anaïs Gantet, Delphine Gourdou, Quentin Liddell en Matteo Ricordeau van Airbus SecLab, volgens The Hacker News. Op het moment van disclosure is er geen exploitatie in het wild bevestigd. Er is geen publiekelijk proof-of-concept opgedoken. Dat is het goede nieuws. Het slechte nieuws is wat de geschiedenis zegt over hoe lang deze situatie doorgaans standhoudt bij een kritieke pre-authentication MFT-kwetsbaarheid.

Waarom MOVEit Automation een aantrekkelijk doelwit is

MOVEit Automation – voorheen bekend als MOVEit Central, en daarvoor Ipswitch MOVEit Central – is geen nicheproduct. Het is de scheduler en workflow-engine die organisaties gebruiken om salarisadministratie, financiële transacties, partnerbestanden, zorgdossiers en engineeringdata op geautomatiseerde cycli te verplaatsen. Het platform slaat routinematig inloggegevens op of heeft toegang tot credentials die zijn ingebed in automatiseringstaken, omdat de automatisering zo werkt.

Dat profiel is precies waarom beheerde bestandsoverdracht een structureel doelwit is geworden voor ransomwaregroepen en initial access brokers. Het Dragos 2026 OT/ICS Cybersecurity Year in Review documenteerde het patroon over meerdere MFT-platforms in 2024 en 2025. Cleo MFT (CVE-2024-50623, CVE-2024-55956) werd vanaf eind 2024 door Cl0p misbruikt, met meer dan 300 geclaimde slachtoffers in transport, productie en voedselindustrie. CrushFTP kreeg in 2025 te maken met twee campagnes – CVE-2025-31161 in maart en CVE-2025-54309 in juli. Wing FTP werd getroffen door CVE-2025-47812 via Lua-injectie, waarmee SYSTEM-level RCE mogelijk werd. De conclusie van Dragos was helder: Platforms voor bestandsoverdracht zijn een hardnekkig doelwit geworden voor ransomwaregroepen en initial access brokers die financiële winst zoeken via afpersing of doorverkoop van toegang.

De MOVEit-disclosures van 2026 passen in dat patroon. Ze vereisen het niet. De economie van de aanvaller stuurt het aan. MFT staat aan de rand van het netwerk, bevat waardevolle data, is breed ingezet en wordt beheerd door IT-teams die mogelijk niet met spoed patchen. Vanuit het perspectief van een aanvaller is dat een structureel aantrekkelijk doelwit. Vanuit het perspectief van de koper is dat informatie die architecturale keuzes zou moeten beïnvloeden.

Wat 2023 daadwerkelijk liet zien

In mei 2023 maakte Progress CVE-2023-34362 bekend, een SQL-injectie-kwetsbaarheid in MOVEit Transfer – een ander product binnen de MOVEit-familie dan MOVEit Automation, en een andere klasse kwetsbaarheid dan de disclosures van 2026. Binnen enkele dagen werd deze op grote schaal misbruikt door de Cl0p-ransomwaregroep, door CISA gevolgd als TA505, via de LEMURLOOT web shell. CISA voegde de CVE op 2 juni 2023 toe aan haar Known Exploited Vulnerabilities catalog. Tegen de tijd dat de campagne tot rust kwam, waren meer dan 2.700 organisaties getroffen en waren tientallen miljoenen individuen geraakt. De collectieve rechtszaken in federale rechtbanken volgden.

De juiste manier om die geschiedenis te gebruiken is niet als voorspelling van wat er met CVE-2026-4670 zal gebeuren. De twee producten zijn verschillend. De twee kwetsbaarheden zijn verschillend. Op het moment van disclosure is er geen bewijs dat de kwetsbaarheden uit 2026 worden misbruikt. De verkeerde manier om die geschiedenis te gebruiken is om haar als irrelevant te beschouwen voor risicobeoordeling. Wat 2023 heeft aangetoond is een basislijn: Kritieke pre-authentication MFT-kwetsbaarheden hebben een korte houdbaarheid voordat iemand ze weaponized. De Cl0p-campagne begon op 27 mei 2023 – vier dagen vóór de publieke bekendmaking van Progress. Verdedigers die reageerden na het openbare advies liepen al vier dagen achter op de aanvallers.

Dat is de afweging die securityteams die MOVEit Automation draaien nu maken. Patchen met de volledige installer, de geplande downtime accepteren en hopen dat het historische patroon zich niet herhaalt. De langere termijnvraag, voor iedereen die MFT draait ongeacht de leverancier, is of de architecturale keuze om een standalone command port aan de rand te plaatsen nog wel logisch is.

Wat de cijfers zeggen over MFT-beveiliging vandaag

Het verdedigbare antwoord op die architecturale vraag vereist data. Het Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Report toont aan dat 59% van de organisaties het afgelopen jaar te maken had met MFT-gerelateerde beveiligingsincidenten, ondanks het claimen van volwassen beveiligingsprogramma’s. De oorzaken zitten in de architectuur, niet in de complexiteit van de dreiging. 63% heeft MFT niet geïntegreerd met SIEM of SOC, waardoor er aanzienlijke blinde vlekken ontstaan in dreigingsdetectie. 62% werkt met gefragmenteerde systemen voor MFT, e-mail, bestandsoverdracht en webformulieren. Elk fragmentatiepunt is een apart beleid, een apart auditlog en een aparte noodpatchhouding.

De volwassenheid van automatisering hangt nog sterker samen met incidentuitkomsten. Het 2025 MFT Survey Report laat zien dat organisaties met minder dan 50% MFT-automatisering een incidentpercentage van 71% rapporteerden. De 13% van de organisaties met 90 tot 100% MFT-automatisering – die het als een strategische controle behandelen in plaats van een handmatig proces – rapporteerden slechts 29%. Het verschil is geen toeval. End-to-end automatisering dwingt consolidatie op controles die een noodmelding overleven. Handmatige processen creëren de gaten die kritieke CVE’s uitbuiten.

Het toeleveringsketenperspectief uit het Black Kite’s 2026 Third-Party Breach Report is nog scherper. 136 geverifieerde derde-partij-incidenten in 2025. 719 publiekelijk genoemde slachtofferbedrijven. Naar schatting 26.000 extra getroffen bedrijven die nooit zijn genoemd. De mediane publieke disclosurevertraging is 73 dagen. Wanneer een MFT-platform als MOVEit op grote schaal wordt misbruikt, zullen de meeste downstream-organisaties gemiddeld pas na ruim twee maanden ontdekken dat ze zijn getroffen. De controle die kopers kunnen uitoefenen is upstream: Kies data-uitwisselingsinfrastructuur met het kleinst mogelijke aanvalsoppervlak en de sterkst mogelijke auditverdedigbaarheid.

Hoe het dreigingslandschap eruitziet in 2026

De MOVEit-kwetsbaarheid van 2026 verschijnt niet in een rustig dreigingslandschap. Het CrowdStrike 2026 Global Threat Report documenteert een stijging van 89% jaar-op-jaar in AI-ondersteunde aanvallersactiviteiten, een gemiddelde eCrime breakout time van 29 minuten van initiële toegang tot laterale beweging, en 82% van de detecties nu geclassificeerd als malwarevrij. Het gecombineerde signaal is dat aanvallers sneller bewegen, gebruikmaken van identiteits- en configuratiezwaktes in plaats van signatures, en verkenning en social engineering versnellen met AI-hulp.

De datapositie blijft achter. Het 2026 Thales Data Threat Report laat zien dat slechts 33% van de organisaties volledig weet waar hun data is opgeslagen. Als twee derde van de organisaties hun gevoelige data niet kan lokaliseren, kunnen ze de blootstelling niet afbakenen wanneer het platform dat deze data verplaatst wordt gecompromitteerd. Het WEF Global Cybersecurity Outlook 2026 vertelt hetzelfde verhaal vanuit het bestuurskamerperspectief: Onderbreking van de toeleveringsketen is nu de op één na belangrijkste cyberzorg voor CISO’s en blijft stijgen op de lijst van CEO-zorgen. AI-kwetsbaarheden staan inmiddels in de top vijf voor CEO’s van zeer veerkrachtige organisaties.

Zet deze signalen af tegen de MOVEit-disclosure van 2026 en de implicatie voor securityteams is duidelijk. Patchcycli worden korter, het tempo van aanvallers wordt hoger, datavisibiliteit verbetert niet, en de structurele risicoconcentratie in MFT-software is niet veranderd. Een patch verhelpt een kwetsbaarheid. Patches lossen geen architecturale blootstelling op.

Het architecturale alternatief van Kiteworks

Kiteworks maakt geen misbruik van de MOVEit-kwetsbaarheid. Het biedt een architecturaal alternatief dat kopers op zijn merites zouden moeten beoordelen. Het voorstel is structureel: Consolideer beheerde bestandsoverdracht, beveiligde e-mail, bestandsoverdracht, SFTP, webformulieren en AI-dataintegraties op één geharde virtuele appliance met één policy-engine, één geconsolideerd auditlog en één set beveiligingscontroles. De architectuur verandert de rekensom op drie manieren.

Ten eerste is het platform gehard op appliance-niveau in plaats van op de infrastructuurlaag van de klant. Ingebouwde netwerkfirewall, webapplicatiefirewall en inbraakdetectie worden door Kiteworks onderhouden. Klantzijde beveiligingsconfiguratie is niet de afhankelijkheid die het is bij MFT-producten op klantbeheerde infrastructuur. Het defense-in-depth-model is aantoonbaar: Toen Log4Shell een branchebrede CVSS van 10 had, werd de impact binnen de Kiteworks-architectuur teruggebracht tot een CVSS van 4 omdat de gelaagde controles de blootstelling beperkten. Dat is geen claim dat Kiteworks immuun is voor kwetsbaarheden. Geen enkel platform is dat. Het is een claim over hoe de architectuur de blootstelling beperkt wanneer er een kwetsbaarheid ontstaat.

Ten tweede is elke Kiteworks-inzet single-tenant. Databases, bestandssystemen en runtime-omgevingen worden niet gedeeld tussen klanten. Cross-tenant aanvalspatronen die multi-tenant cloudservices treffen, kunnen niet over grenzen heen gaan die niet bestaan. Voor gereguleerde data-uitwisseling – financiële transacties, zorgdossiers, defensiedata, partnercredentials – is single-tenant isolatie een structurele controle, geen configuratieoptie.

Ten derde vervangt consolidatie point solutions. MFT is één kanaal. Echte ondernemingen wisselen ook gevoelige data uit via e-mail, webformulieren, bestandsoverdracht, SFTP, API’s en steeds vaker via AI-assistenten en -agents. Wanneer elk van die kanalen op een andere vendorstack met een andere patchcyclus draait, wordt elke disclosure een aparte brandmelding. Door ze te verenigen onder één platform met één auditlog, verklein je zowel het aanvalsoppervlak als de operationele last. Dat is het architecturale antwoord op de terugkerende MFT-CVE-cyclus.

Wat te doen deze week, dit kwartaal en dit jaar

Actiepunten, geen ambitie. Ten eerste, als je MOVEit Automation draait, patch nu. Upgrade naar 2025.1.5, 2025.0.9 of 2024.1.8 met de volledige installer volgens het Progress-advies. Er is geen workaround en geen snelle oplossing. Plan de downtime, communiceer dit naar de afhankelijke business units en rond de upgrade af volgens het schema dat het advies van de leverancier voorschrijft. Controleer de versiestatus na de upgrade via Help > About.

Ten tweede, audit je MFT-blootstelling. Vind elke MOVEit Automation-instantie – inclusief die met de oude MOVEit Central of Ipswitch MOVEit Central branding in je inventaris. Legacy-omgevingen worden vaak ter plekke geüpgraded in plaats van opnieuw opgebouwd, waardoor achtergebleven componenten patchcycli missen. Langlopende automatiseringsomgevingen zijn precies waar onbeheerde instanties zich verstoppen.

Ten derde, beperk netwerkblootstelling op de service backend command port interfaces. Deze mogen niet bereikbaar zijn vanaf het publieke internet. Bevestig dat toegang beperkt is tot bekende geautoriseerde systemen en valideer de beperking met een netwerk scan in plaats van alleen een configuratiereview. Uit data van het Kiteworks 2025 MFT Survey Report blijkt dat 63% van de organisaties MFT niet heeft geïntegreerd met SIEM of SOC – wat betekent dat zelfs als de blootstelling verandert, de meeste teams het niet in hun monitoring zien.

Ten vierde, bekijk auditlogs voor de periode tussen disclosure en patch. Zoek naar onverwachte privilegewijzigingen, nieuwe beheerdersaccounts, afwijkende activiteiten gekoppeld aan de backend service interfaces, en bestandsoverdrachten die niet overeenkomen met gedocumenteerde workflowpatronen. Volgens het 2026 Black Kite Third-Party Breach Report is de mediane publieke disclosurevertraging voor derde-partij-incidenten 73 dagen. Ontdekking in je eigen omgeving is sneller dan wachten tot iemand anders je informeert.

Ten vijfde, zet de architecturale review op de agenda voor dit kwartaal. De vraag is niet of je MOVEit moet patchen – dat doe je al. De vraag is hoeveel MFT-kwetsbaarheidscycli jouw team en bedrijf nog kunnen opvangen met de huidige architectuur. Data uit het Kiteworks 2025 MFT Survey Report toont dat 62% van de organisaties werkt met gefragmenteerde systemen voor MFT, e-mail, bestandsoverdracht en webformulieren. Elk van die fragmenten is een aparte noodreactiehouding in de wacht.

Ten zesde, bespreek het met Legal en Compliance. Zodra een CVE is gepubliceerd in de NVD, zijn organisaties formeel op de hoogte voor compliance-raamwerken die herstel van bekende kwetsbaarheden vereisen. De discoverypositie verandert zodra de disclosure plaatsvindt. Documenteer de patchtijdlijn, de auditreview en de architecturale beslissing. De verdedigbaarheid van de reactie hangt af van het bewijs, niet alleen van de snelheid van de patch.

De slotvraag is niet of MOVEit Automation in het wild zal worden misbruikt. Misschien wel, misschien niet. De verdedigbare vraag, voor elke organisatie die gevoelige gegevens via MFT-software verstuurt, is of de volgende kritieke onthulling een chaotische situatie of slechts een voetnoot zal zijn. De architectuur bepaalt het.