Kwetsbaarheid in Cleo-bestandsoverdracht wordt misbruikt: patch in behandeling, oplossing nodig

Cyberbeveiliging
Cleo File Transfer Vulnerability

Gebruikers van door Cleo beheerde software voor bestandsoverdracht worden dringend verzocht ervoor te zorgen dat hun instances niet aan het internet worden blootgesteld na berichten over massale exploitatie van een kwetsbaarheid die volledig gepatchte systemen aantast.

Cyberbeveiligingsbedrijf Huntress zei dat het op 3 december 2024 bewijs heeft ontdekt van bedreigingsactoren die het probleem massaal misbruiken. De kwetsbaarheid, die gevolgen heeft voor Cleo’s LexiCom-, VLTransfer- en Harmony-software, betreft een geval van niet-geverifieerde uitvoering van externe code.

Het beveiligingslek wordt gevolgd als CVE-2024-50623, waarbij Cleo opmerkt dat de fout het resultaat is van een onbeperkte bestandsupload die de weg zou kunnen vrijmaken voor de uitvoering van willekeurige code.

Het in Illinois gevestigde bedrijf, dat meer dan 4.200 klanten over de hele wereld heeft, heeft sindsdien nog een advies uitgebracht (CVE in behandeling), waarin wordt gewaarschuwd voor een afzonderlijke “niet-geauthenticeerde kwetsbaarheid voor kwaadaardige hosts die zou kunnen leiden tot uitvoering van externe code.”

De ontwikkeling komt nadat Huntress zei dat de patches die zijn uitgebracht voor CVE-2024-50623 de onderliggende softwarefout niet volledig kunnen verhelpen. Het probleem is van invloed op de onderstaande producten en zal naar verwachting later deze week worden gepatcht:

  • Cleo Harmony (tot versie 5.8.0.23)
  • Cleo VLTrader (tot versie 5.8.0.23)
  • Cleo LexiCom (tot versie 5.8.0.23)

Bij de aanvallen die door het cyberbeveiligingsbedrijf zijn gedetecteerd, is gebleken dat de kwetsbaarheid wordt misbruikt om meerdere bestanden te verwijderen, waaronder een XML-bestand dat is geconfigureerd om een ​​ingebedde PowerShell-opdracht uit te voeren die verantwoordelijk is voor het ophalen van een JAR-bestand (Java Archive) in de volgende fase van een externe server.

De inbraken maken met name gebruik van de feitenbestanden die in de submap “autorun” in de installatiemap zijn geplaatst en worden onmiddellijk gelezen, geïnterpreteerd en geëvalueerd door de gevoelige software.

Bij maar liefst tien bedrijven zijn de Cleo-servers gecompromitteerd, waarbij op 8 december 2024, rond 07.00 uur UTC, een piek in de exploitatie werd waargenomen. Uit het tot nu toe verzamelde bewijsmateriaal blijkt dat de vroegste verkenningsdatum op 3 december 2024 ligt.

Slachtofferorganisaties omvatten bedrijven in consumentenproducten, logistieke en scheepvaartorganisaties en voedselleveranciers. Gebruikers wordt geadviseerd ervoor te zorgen dat hun software up-to-date is om ervoor te zorgen dat ze beschermd zijn tegen de dreiging.

Ransomwaregroepen zoals Cl0p (ook bekend als Lace Tempest) hebben in het verleden hun zinnen gezet op verschillende beheerde tools voor bestandsoverdracht, en het lijkt erop dat dit bij de laatste aanvalsactiviteiten niet anders is.

Volgens beveiligingsonderzoeker Kevin Beaumont (ook bekend als GossiTheDog) “hebben operators van Termite-ransomwaregroepen (en misschien andere groepen) een zero-day-exploit voor Cleo LexiCom, VLTransfer en Harmony.”

Cybersecuritybedrijf Rapid7 zei dat het ook de succesvolle exploitatie van het Cleo-probleem tegen klantomgevingen heeft bevestigd. Het is vermeldenswaard dat Termite de verantwoordelijkheid heeft opgeëist voor de recente cyberaanval op supply chain-bedrijf Blue Yonder.

Het Symantec Threat Hunter-team van Broadcom vertelde The Hacker News dat “Termite een aangepaste versie van de Babuk-ransomware lijkt te gebruiken, die, wanneer uitgevoerd op een machine, gerichte bestanden codeert en een .termite-extensie toevoegt.”

“Sinds we zagen dat Blue Yonder een exemplaar van Cleo’s software open had staan ​​voor het internet via Shodan, en Termite Blue Yonder onder zijn slachtoffers heeft geclaimd, wat ook werd bevestigd door hun lijst en open map met bestanden, zou ik zeggen dat Gossi dat is correct in zijn verklaring,” vertelde Jamie Levy, directeur Adversary Tactics van Huntress, aan de publicatie.

“Voor wat het waard is: er zijn geruchten dat Termite de nieuwe Cl0p zou kunnen zijn. Er zijn enkele gegevens die dit lijken te ondersteunen, aangezien de activiteiten van Cl0p zijn afgenomen terwijl de activiteiten van Termite zijn toegenomen. Ze opereren ook op een vergelijkbare manier. Wij” We zitten niet echt in het attributiespel, maar het zou helemaal niet verrassend zijn als we op dit moment een verschuiving zien in deze ransomwarebendes.”

(Dit is een verhaal in ontwikkeling. Kom later terug voor meer updates.)

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google kondigt zijn nieuwste quantumcomputerchip ‘Willow’ aan

Samsung is naar verluidt van plan om in 2025 50.000 XR-brillen te produceren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]