Cleo a lansat actualizări de securitate pentru o defecțiune zero-day în software-urile sale LexiCom, VLTransfer și Harmony, actualmente exploatată în atacuri de furt de date.
În octombrie, compania a remediat o vulnerabilitate de executare de cod la distanță pre-autentificare (CVE-2024-50623) în software-ul său de transfer de fișiere gestionat și a recomandat ca „toți clienții să efectueze imediat upgrade-ul”.
Cercetătorii de securitate de la Huntress au observat pentru prima dată dovezi ale atacurilor îndreptate împotriva software-ului Cleo complet actualizat pe 3 decembrie. Acest lucru a fost urmat de o creștere semnificativă a activității duminică, 8 decembrie, după ce atacatorii au descoperit rapid o bypassare CVE-2024-50623 (fără niciun CVE-ID) care le permite să importe și să execute comenzi arbitrare bash sau PowerShell exploatând setările implicite ale folderului Autorun.
Această eroare zero-day este acum exploatată în atacuri continue legate de expertul în securitate cibernetică Kevin Beaumont la grupul de ransomware Termite, care a revendicat recent încălcarea furnizorului de software ca serviciu (SaaS) Blue Yonder.
„Această vulnerabilitate este exploatată activ în sălbăticie și sistemele complet actualizate care rulează 5.8.0.21 sunt încă exploatabile”, a avertizat Huntress luni.
„Vă recomandăm insistent să mutați orice sisteme Cleo expuse pe internet în spatele unui firewall până când va fi lansat un nou patch”.
Shodan urmărește în prezent 421 de servere Cleo la nivel mondial, 327 dintre acestea fiind în Statele Unite. Cercetătorul de amenințări de la Macnica, Yutaka Sejiyama, a descoperit, de asemenea, 743 de servere Cleo accesibile online (379 care rulează software Harmony, 124 VLTrader și 240 LexiCom).
Astăzi, Cleo a lansat patch-uri pentru a bloca atacurile continue și a îndemnat clienții să efectueze upgrade-ul la versiunea 5.8.0.24 cât mai curând posibil pentru a securiza serverele expuse pe internet vulnerabile la încercări de încălcare.
„Cleo recomandă insistent tuturor clienților să efectueze imediat upgrade la ultimul patch lansat (versiunea 5.8.0.24) pentru a aborda vectorii de atac potențiali descoperiți în plus ai vulnerabilității”, a spus compania. „După aplicarea patch-ului, erorile sunt înregistrate pentru orice fișiere găsite la pornire legate de această exploatare, iar acele fișiere sunt eliminate”, a adăugat.
Cleo îi sfătuiește pe cei care nu pot efectua imediat un upgrade să dezactiveze funcția Autorun mergând în Opțiunile de sistem și ștergând directorul Autorun (aceasta nu va bloca atacurile care vin, dar va reduce suprafața de atac).
Actorii de amenințări au exploatat vulnerabilitatea acum remediată pentru a implementa o încărcare Java Archive (JAR) codificată [VirusTotal] care face parte dintr-un cadru de post-exploatare Java mai mare, așa cum a descoperit Rapid7 în timpul investigării atacurilor.
Huntress a analizat, de asemenea, malware-ul (acum numit Malichus) și a spus că a fost implementat doar pe dispozitive Windows, deși vine și cu suport Linux. Potrivit Binary Defense ARC Labs, operatorii de malware pot folosi Malichus pentru transferuri de fișiere, executare de comenzi și comunicare în rețea.
Până în prezent, Huntress a descoperit cel puțin zece companii ale căror servere Cleo au fost sparte în aceste atacuri continue și a spus că există și alte posibile victime. Sophos a găsit, de asemenea, indicii de compromis pe peste 50 de servere Cleo.
„Toți clienții afectați observați au o filială sau operează în America de Nord, în principal în SUA. Remarcăm că majoritatea clienților afectați observați sunt organizații de retail”, a spus Sophos.
Aceste atacuri sunt foarte similare cu atacurile de furt de date Clop care vizează zero-days în MOVEit Transfer, GoAnywhere MFT și Accellion FTA în ultimii ani.
Patch-ul de marți, 2024 al lui Microsoft, rezolvă 1 zero-day exploatat, 71 de defecte
Botnetul exploatează zero-day-ul GeoVision pentru a instala malware-ul Mirai
Patch-ul de marți, 2024 al lui Microsoft, rezolvă 4 zero-days, 89 de defecte
Patch-ul de marți, 2024 al lui Microsoft, rezolvă 5 zero-days, 118 de defecte
Noua vulnerabilitate zero-day RCE a Cleo exploatată în atacuri de furt de date
Leave a Reply