Hackerii exploateaza activ o vulnerabilitate zero-day in software-ul de transfer de fisiere gestionat Cleo pentru a patrunde in retelele corporative si a efectua atacuri de furt de date.
Defectul a fost descoperit in produsele de transfer securizat de fisiere ale companiei, Cleo LexiCom, VLTrader si Harmony, si este o vulnerabilitate de executie de cod la distanta urmarita sub numele CVE-2023-34362.
Vulnerabilitatea Cleo MFT afecteaza versiunile 5.8.0.21 si anterioare si este o modalitate de a ocoli o vulnerabilitate deja reparata, CVE-2024-50623, pe care Cleo a abordat-o in octombrie 2024. Cu toate acestea, reparatia a fost incompleta, permitand actorilor de amenintare sa ocoleasca si sa continue sa o exploateze in atacuri.
Cleo spune ca software-ul sau este utilizat de 4.000 de companii la nivel mondial, inclusiv Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola si Duraflame.
Aceste atacuri amintesc de atacurile anterioare de furt de date Clop care au exploatat zero-day-uri in produsele de transfer de fisiere gestionate, inclusiv exploatarea masiva din 2023 a MOVEit Transfer, atacurile folosind un zero-day GoAnywhere MFT si exploatarea zero-day din decembrie 2020 a serverelor Accellion FTA.
Cu toate acestea, expertul in securitate cibernetica Kevin Beaumont sustine ca aceste atacuri de furt de date Cleo sunt legate de noua grupare de ransomware Termite, care a patruns recent in Blue Yonder, un furnizor de software pentru lantul de aprovizionare utilizat de multe companii la nivel mondial.
„Operatorii gruparii de ransomware Termite (si poate alte grupuri) detin o exploatare zero-day pentru Cleo LexiCom, VLTransfer si Harmony”, a postat Beaumont pe Mastodon.
Exploatarea activa a software-ului Cleo MFT a fost observata pentru prima data de cercetatorii de securitate de la Huntress, care au publicat si o demonstratie a exploatarea conceptului (PoC) intr-un nou articol de avertizare utilizatorii sa actioneze urgent.
„Aceasta vulnerabilitate este activ exploatata in mediul online si sistemele complet actualizate care ruleaza 5.8.0.21 sunt in continuare vulnerabile”, explica Huntress.
„Recomandam cu tarie sa mutati orice sisteme Cleo expuse pe internet in spatele unui firewall pana cand va fi lansat un nou patch”.
Dovezi ale exploatarii active a CVE-2024-50623 au inceput pe 3 decembrie 2024, cu o crestere semnificativa a volumului de atacuri observata pe 8 decembrie.
Desi atributia ramane neclara, atacurile sunt legate de urmatoarele adrese IP din Statele Unite, Canada, Olanda, Lituania si Moldova.
Atacurile exploateaza defectul Cleo pentru a scrie fisiere numite ‘healthchecktemplate.txt’ sau ‘healthcheck.txt’ in directorul ‘autorun’ al echipamentelor vizate, care sunt procesate automat de software-ul Cleo.
Cand acest lucru se intampla, fisierele invoca functionalitatile de import incorporate pentru a incarca incarcaturi aditionale precum fisiere ZIP care contin configuratii XML (‘main.xml’), care contin comenzi PowerShell care vor fi executate.
Comenzile PowerShell stabilesc conexiuni de apel inapoi catre adrese IP remote, descarca incarcaturi JAR aditionale si sterg fisierele malitioase pentru a ingreuna investigatia forensica.
In faza de post-exploatare, Huntress spune ca atacatorii folosesc ‘nltest.exe’ pentru a enumera domeniile Active Directory, deployeaza shell-uri web pentru acces remote persistent pe sistemele compromise si folosesc canale TCP pentru a fura in cele din urma date.
Telemetria Huntress indica faptul ca aceste atacuri au afectat cel putin zece organizatii care utilizeaza produsele software Cleo, unele dintre acestea facand afaceri in domeniul produselor de consum, industria alimentara, transportul rutier si maritim.
Huntress mentioneaza ca exista mai multi potentiali victime dincolo de vizibilitatea sa, cu scanari de internet Shodan care returneaza 390 de rezultate pentru produsele software Cleo, Cea mai mare parte (298) dintre serverele vulnerabile se afla in Statele Unite.
Yutaka Sejiyama, un cercetator de amenintari la Macnica, a declarat pentru BleepingComputer ca scanarile sale returneaza 379 de rezultate pentru Harmony, 124 pentru VLTrader si 240 pentru LexiCom.
Datorita exploatarii active a CVE-2024-50623 si ineficacitatii patch-ului curent (versiunea 5.8.0.21), utilizatorii trebuie sa ia masuri imediate pentru a reduce riscul de compromitere.
Huntress sugereaza mutarea sistemelor expuse pe internet in spatele unui firewall si restrangerea accesului extern la sistemele Cleo.
De asemenea, se recomanda dezactivarea functiei de autorun urmand acesti pasi:
Verificati daca exista compromiteri cautand fisiere TXT si XML suspecte in directoarele ‘C:\LexiCom’, ‘C:\VLTrader’ si ‘C:\Harmony’ si inspectati jurnalele pentru executia comenzilor PowerShell.
Huntress spune ca Cleo se asteapta ca o noua actualizare de securitate pentru aceasta vulnerabilitate sa fie lansata mai tarziu in aceasta saptamana.
BleepingComputer a contactat Cleo cu intrebari suplimentare si vom actualiza acest articol imediat ce primim un raspuns.
Leave a Reply