Aktívne zneužívaná zraniteľnosť v nástrojoch pre zabezpečený prenos súborov od spoločnosti Cleo

Bezpečnostní výskumníci zo spoločnosti Huntress informovali o aktívne zneužívanej zraniteľnosti v nástrojoch pre zabezpečený prenos a zdieľanie súborov Cleo Harmony, Cleo VLTrader a Cleo LexiCom. Zraniteľnosť CVE-2024-55956 možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vykonanie neoprávnených zmien v systéme a vzdialené vykonanie kódu. Zraniteľnosť v súčasnosti zneužíva aj ransomvérová skupina Clop.

[Aktualizované 17.12.2024]

Zraniteľné systémy:

• Cleo Harmony vo verziách starších ako 5.8.0.24
• Cleo VLTrader vo verziách starších ako 5.8.0.24
• Cleo LexiCom vo verziách starších ako 5.8.0.24

Opis zraniteľnosti:

CVE-2024-55956 (CVSS skóre 9,8)

Jedná sa o zraniteľnosť podobnú staršej CVE-2024-50623, ktorá bola odstránená v rámci aktualizácií vydaných v októbri 2024. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na nahratie ľubovoľných súborov a vykonanie príkazov na hostiteľskom systéme.

Súbory umiestnené v priečinku autorun v koreňovom adresári aplikácií LexiCom, Harmony a VLTrader sú automaticky interpretované. Nahraním špeciálne vytvorených súborov zneužívajúcich zabudovanú funkcionalitu produktov Import možno dosiahnuť vzdialené vykonanie príkazov Bash alebo PowerShell definovaných v ďalších súboroch, ktoré nahral útočník.

V súčasnosti je dostupný Proof of Concept (PoC) demonštrujúci mechanizmus zneužitia zraniteľnosti.

Zraniteľnosť aktívne zneužívajú útočníci minimálne od 3. decembra 2024. Ransomvérová skupina CLOP ju v rámci útokov zneužíva na krádež citlivých údajov.

Možné škody:

• Neoprávnená zmena v systéme
• Neoprávnený prístup k citlivým údajom
• Vzdialené vykonanie kódu

Indikátory kompromitácie (IoC):

• 5.149.249[.]226
• 89.248.172[.]139
• 176.123.10[.]115
• 176.123.5[.]126
• 181.214.147[.]164
• 185.162.128[.]133
• 185.163.204[.]137
• 185.181.230[.]103
• 192.119.99[.]42
• 209.127.12[.]38

Odporúčania:

Bezodkladná aktualizácia Cleo Harmony, VLTrader a LexiCom aspoň na verziu 5.8.0.24.

Mitigovať zraniteľnosť je možné limitovaním prístupu k zraniteľným systémom prostredníctvom sieťových a bezpečnostných prvkov. Spusteniu kódu z priečinka autoruns možno zabrániť zmenou konfigurácie zraniteľných aplikácií podľa odporúčaní výskumníkov v časti How to Stay Protected.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov.

Pokusy o zneužitie zraniteľnosti možno identifikovať analýzou logov aplikácií v priečinku logs. Taktiež odporúčame vykonať inšpekciu obsahu priečinkov autorun na prítomnosť podozrivých .TXT súborov a obsah host na prítomnosť podozrivých .XML súborov obsahujúcich príkazy Bash alebo PowerShell. K dispozícii sú aj Sigma pravidlá pre host-based detekciu [1, 2].

Zdroje:

• https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623
• https://nvd.nist.gov/vuln/detail/CVE-2024-55956
• https://www.rapid7.com/blog/post/2024/12/10/etr-widespread-exploitation-of-cleo-file-transfer-software-cve-2024-50623/
• https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild
• https://censys.com/cve-2024-50623/
• https://www.bleepingcomputer.com/news/security/new-cleo-zero-day-rce-flaw-exploited-in-data-theft-attacks/
• https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/