Gli utenti del software di trasferimento file gestito da Cleo sono fortemente invitati a garantire che le loro istanze non siano esposte a Internet, a seguito di segnalazioni di sfruttamento di massa di una vulnerabilità che interessa i sistemi completamente aggiornati. La società di cybersecurity Huntress ha scoperto prove che dimostrano l'attività degli attori delle minacce che stanno sfruttando il problema su larga scala. Questa vulnerabilità riguarda i software Cleo LexiCom, VLTransfer e Harmony e comporta un caso di esecuzione di codice remoto non autenticato.

Dettagli della Vulnerabilità

La falla di sicurezza è tracciata come CVE-2024-50623, e Cleo ha segnalato che la vulnerabilità è il risultato di un caricamento di file senza restrizioni, che potrebbe aprire la strada all'esecuzione di codice arbitrario. Cleo, con sede in Illinois e con oltre 4.200 clienti in tutto il mondo, ha emesso un altro avviso per avvertire di una vulnerabilità separata che potrebbe portare all'esecuzione di codice remoto.

Problemi con le Patch

Huntress ha dichiarato che le patch rilasciate per CVE-2024-50623 non mitigano completamente la falla di sicurezza sottostante. Questo problema interessa i prodotti Cleo Harmony, VLTrader e LexiCom fino alla versione 5.8.0.23, e si prevede che sarà risolto entro la fine della settimana.

Attacchi Rilevati

Negli attacchi rilevati, la vulnerabilità è stata sfruttata per inserire vari file, tra cui un file XML configurato per eseguire un comando PowerShell incorporato, responsabile del recupero di un file Java Archive (JAR) da un server remoto. Le intrusioni sfruttano il fatto che i file posizionati nella sottodirectory "autorun" all'interno della cartella di installazione vengono immediatamente letti, interpretati e valutati dal software vulnerabile.

Impatto e Raccomandazioni

Almeno 10 aziende hanno visto i loro server Cleo compromessi, con un picco di sfruttamento osservato l'8 dicembre 2024. Gli attacchi hanno colpito organizzazioni di vari settori, tra cui aziende di prodotti di consumo, logistica e spedizioni, e fornitori alimentari. Gli utenti sono invitati a mantenere aggiornato il loro software per proteggersi dalla minaccia.

Attività di Gruppi di Ransomware

Gruppi di ransomware come Cl0p hanno precedentemente preso di mira vari strumenti di trasferimento file gestiti, e sembra che le ultime attività di attacco non siano diverse. Secondo il ricercatore di sicurezza Kevin Beaumont, i gestori del gruppo ransomware Termite (e forse altri gruppi) dispongono di un exploit zero-day per Cleo LexiCom, VLTransfer e Harmony.

Conferme di Sfruttamento

La società di cybersecurity Rapid7 ha confermato lo sfruttamento riuscito della questione Cleo contro ambienti dei clienti. Inoltre, Termite ha rivendicato la responsabilità del recente attacco informatico alla società di supply chain Blue Yonder.

Utilizzo di Ransomware Babuk

Il team Symantec Threat Hunter di Broadcom ha riferito che Termite sembra utilizzare una versione modificata del ransomware Babuk, che, quando eseguito su una macchina, cifra i file di destinazione aggiungendo un'estensione .termite.

Dati di Esposizione

Dati condivisi dalla società di gestione delle superfici di attacco Censys mostrano che ci sono 1.342 istanze esposte di Cleo Harmony, VLTrader e LexiCom online. Quasi il 79% dei server accessibili pubblicamente si trova negli Stati Uniti, seguiti da Canada, Messico, Irlanda e Germania.