Cleo ファイル転送の脆弱性が悪用される – パッチは保留中、軽減が求められます

2024 年 12 月 10 日ラヴィー・ラクシュマナン脆弱性/脅威の分析

完全にパッチが適用されたシステムに影響を与える脆弱性の大量悪用の報告を受けて、Cleo が管理するファイル転送ソフトウェアのユーザーは、インスタンスがインターネットに公開されないようにするよう求められています。

サイバーセキュリティ企業ハントレス 言った 2024 年 12 月 3 日に、脅威アクターがこの問題を一斉に悪用した証拠を発見しました。この脆弱性は、Cleo の LexiCom、VLTransfer、および Harmony ソフトウェアに影響を与え、認証されていないリモート コード実行のケースに関係しています。

セキュリティホールは、 追跡された CVE-2024-50623として、この欠陥は無制限のファイルアップロードの結果であり、任意のコードの実行への道を開く可能性があるとCleoは指摘しています。

サイバーセキュリティ

イリノイ州に本拠を置き、世界中に 4,200 を超える顧客を持つ同社は、以来、 発行済み 別の勧告 (CVE 保留中) では、別の「リモート コード実行につながる可能性のある認証されていない悪意のあるホストの脆弱性」について警告しています。

この開発は、CVE-2024-50623 に対してリリースされたパッチは根本的なソフトウェアの欠陥を完全には軽減していないとハントレス氏が述べた後に行われました。この問題は以下の製品に影響し、今週後半にパッチが適用される予定です。

  • Cleo Harmony (バージョン 5.8.0.23 まで)
  • Cleo VLTrader (バージョン 5.8.0.23 まで)
  • Cleo LexiCom (バージョン 5.8.0.23 まで)

サイバーセキュリティ会社が検出した攻撃では、この脆弱性が悪用されて複数のファイルがドロップされることが判明しました。その中には、次の段階の Java アーカイブ (JAR) ファイルをファイルから取得する組み込み PowerShell コマンドを実行するように構成された XML ファイルも含まれます。リモートサーバー。

具体的には、侵入は、インストール フォルダ内の「autorun」サブディレクトリに配置されたファクト ファイルを利用し、影響を受けやすいソフトウェアによって即座に読み取られ、解釈され、評価されます。

少なくとも 10 社もの企業が Cleo サーバーに侵入しており、2024 年 12 月 8 日午前 7 時 (協定世界時) 頃に悪用の急増が観察されました。これまでに収集された証拠により、探査の最も古い日付は 2024 年 12 月 3 日であることが判明しています。

被害者の組織は、消費者製品会社、物流・配送組織、食品サプライヤーに及びます。ユーザーは、脅威から確実に保護されるように、ソフトウェアが最新であることを確認することをお勧めします。

Cl0p (別名レース テンペスト) のようなランサムウェア グループは、これまでにもさまざまなマネージド ファイル転送ツールに狙いを定めており、最新の攻撃活動も同様のようです。

サイバーセキュリティ

セキュリティ研究者によると ケビン・ボーモント (別名 GossiTheDog)、「シロアリ ランサムウェア グループのオペレーター (およびおそらく他のグループ) は、Cleo LexiCom、VLTransfer、および Harmony のゼロデイ エクスプロイトを持っています。」

サイバーセキュリティ会社 Rapid7 言った また、顧客環境に対する Cleo 問題の悪用が成功したことも確認されています。シロアリが持っていることに注目する価値があります。 主張された責任 サプライチェーン企業Blue Yonderに対する最近のサイバー攻撃について。

Broadcom の Symantec Threat Hunter チーム 言った 「シロアリは、マシン上で実行されると、標的のファイルを暗号化し、.termite 拡張子を追加する、Babak ランサムウェアの修正版を使用しているようです。」というハッカー ニュース。

「Blue Yonder が Shodan 経由で Cleo のソフトウェアのインスタンスをインターネットに公開していることを確認し、Termite が被害者の中に Blue Yonder を主張していることを確認しており、それはファイルのリストとオープン ディレクトリによっても確認されているため、私は Gossi が彼の声明は正しい」とハントレスの敵対戦術ディレクター、ジェイミー・レヴィ氏は出版物に語った。

「実際のところ、シロアリが新しい Cl0p である可能性があるという噂がいくつかあります。シロアリの活動が増加する一方で Cl0p の活動が減少しているため、これを裏付けると思われるデータがいくつかあります。シロアリも同様の方法で活動しています。私たちは」特定のゲームには実際には参加していませんが、現時点でこれらのランサムウェアギャングに変化が見られたとしても、まったく驚くべきことではありません。」

(これは開発中の話です。さらなる最新情報を確認してください。)

この記事は面白かったですか?フォローしてください ツイッター そして リンクトイン 私たちが投稿する独占的なコンテンツをさらに読むには。



出典

関連記事同じ著者から