Bilgisayar korsanları, kurumsal ağları ihlal etmek ve veri hırsızlığı saldırıları yapmak için CLEO tarafından yönetilen dosya aktarım yazılımında sıfır günlük bir güvenlik açığından aktif olarak yararlanıyor.
Kusur, şirketin güvenli dosya aktarım ürünleri, Cleo Lexicom, Vltrader ve Harmony'de bulunur ve CVE-2023-34362 olarak izlenen bir uzaktan kod yürütme kusurudur.
CLEO MFT güvenlik açığı, 5.8.0.21 ve önceki sürümleri etkiler ve Cleo'nun Ekim 2024'te ele aldığı daha önce sabit bir kusur olan CVE-2024-50623 için bir baypastır. Ancak, düzeltme eksikti, tehdit aktörlerinin onu atlamasına ve devam etmesine izin verir. Saldırılarda sömürün.
Cleo, yazılımının Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola ve Duraflame dahil olmak üzere dünya çapında 4.000 şirket tarafından kullanıldığını söylüyor.
Bu saldırılar, hareketli dosya transfer ürünlerinde sıfır günlerden yararlanan önceki klop veri hırsızlığı saldırılarını anımsatıyor, bu da Moveit transferinin 2023 seri sömürüsü, bir Goanywhere MFT Zero-Day kullanan saldırılar ve Aralık 2020 sıfır gününün sömürülmesi Acccellion FTA sunucuları.
Bununla birlikte, siber güvenlik uzmanı Kevin Beaumont, bu CLEO veri hırsızlığı saldırılarının, yakın zamanda dünya çapında birçok şirket tarafından kullanılan bir tedarik zinciri yazılım sağlayıcısı olan Blue Yonder'i ihlal eden yeni Termit Fidyeware Gang ile bağlantılı olduğunu iddia ediyor.
Beaumont, "Termit fidye yazılımı grup operatörleri (ve belki diğer gruplar) Cleo Lexicom, Vltransfer ve Harmony için sıfır günlük bir istismara sahiptir."
CLEO MFT yazılımının aktif sömürüsü, ilk olarak yeni bir yazı uyarı kullanıcılarında acil eylemde bulunmak için bir konsept (POC) kanıtı (POC) kanıtı yayınlayan Huntress Security Araştırmacıları tarafından tespit edildi.
Huntress, "Bu kırılganlık, 5.8.0.21 çalışan vahşi ve tamamen yamalı sistemlerde aktif olarak sömürülüyor."
"Yeni bir yama piyasaya sürülene kadar internete maruz kalan CLEO sistemlerini bir güvenlik duvarının arkasına taşımanızı şiddetle tavsiye ediyoruz."
CVE-2024-50623'ün aktif sömürüsüne ilişkin kanıtı, 3 Aralık 2024'te başladı ve 8 Aralık'ta gözlenen saldırıların hacminde önemli bir artışla başladı.
Atıf belirsiz kalsa da, saldırılar ABD, Kanada, Hollanda, Litvanya ve Moldova'daki aşağıdaki IP adresleriyle bağlantılıdır.
Saldırılar, CLEO yazılımı tarafından otomatik olarak işlenen hedeflenen uç noktaların 'HealthChecktemplate.txt' veya 'HealthCheck.txt' adlı dosyaları yazmak için CLEO Kusurundan yararlanıyor.
Bu olduğunda, dosyalar, yürütülecek PowerShell komutlarını içeren XML yapılandırmaları ('Main.xml') içeren Zip dosyaları gibi ek yükler yüklemek için yerleşik içe aktarma işlevlerini çağırır.
PowerShell komutları, uzak IP adreslerine geri arama bağlantıları yapar, ek kavanoz yükleri indirir ve adil araştırmayı engellemek için kötü amaçlı dosyaları silin.
Sıkıştırma sonrası aşamada Huntress, saldırganların Active Directory alanlarını numaralandırmak için 'nltest.exe' kullandığını, güvenliği ihlal edilmiş sistemlerde kalıcı uzaktan erişim için dağıtım ve sonuçta veri çalmak için TCP kanallarını kullandığını söylüyor.
Huntress'in telemetrisi, bu saldırıların bazıları tüketici ürünlerinde iş yapan, gıda endüstrisi, kamyon ve nakliye yapan CLEO yazılım ürünlerini kullanarak en az on kuruluşu etkilediğini göstermektedir.
Huntress, görünürlüğünün ötesinde daha fazla potansiyel kurban olduğunu, Shodan İnternet taramalarının CLEO yazılım ürünleri için 390 sonuç geri döndüğünü belirtiyor, savunmasız sunucuların büyük çoğunluğu (298) ABD'de bulunuyor.
MacNica'da bir tehdit araştırmacısı olan Yutaka Sejiyama, BleepingComputer'a taramalarının Harmony için 379, Vltrader için 124 ve Lexicom için 240 sonuçlarını döndürdüğünü söyledi.
CVE-2024-50623'ün aktif kullanımı ve mevcut yamanın etkisizliği (sürüm 5.8.0.21) göz önüne alındığında, kullanıcıların uzlaşma riskini azaltmak için hemen adımlar atmaları gerekir.
Huntress, internete maruz kalan sistemlerin bir güvenlik duvarının arkasında hareket ettirilmesini ve CLEO sistemlerine dış erişimi kısıtlamayı önerir.
Ayrıca, bu adımları izleyerek Autorun özelliğini kapatmanız önerilir:
'C: \ Lexicom', '' C: \ Vltrader 've' C: \ Harmony 'dizinlerinde şüpheli TXT ve XML dosyaları arayarak uzlaşmayı kontrol edin ve PowerShell komut yürütmesi için günlükleri inceleyin.
Huntress, Cleo'nun bu kusurun bu hafta piyasaya sürülmesi için yeni bir güvenlik güncellemesi beklediğini söyledi.
BleepingComputer, CLEO ile ek sorularla iletişime geçti ve bir sözcü aşağıdaki yorumu sağladı (güncelleme):
Cleo Harmony, Vltrader ve Lexicom ürünlerinde kritik bir güvenlik açığı belirledik. Derhal kırılganlığı keşfettikten sonra, dış siber güvenlik uzmanlarının yardımı ile bir soruşturma başlattık, bu sorunun müşterilerini bilgilendirdik ve bir yama geliştirilirken müşterilerin güvenlik açığını ele almak için hemen almaları gerektiği yönünde azaltma adımları şartıyla.
Soruşturmamız devam ediyor. Müşteriler, güncellemeler için Cleo’nun güvenlik bülten web sayfasını düzenli olarak kontrol etmeye teşvik edilir. CLEO, müşterilerini desteklemeye odaklanmıştır ve bu güvenlik açığını ele almada ek teknik yardıma ihtiyaç duyanlara 7/24 müşteri destek hizmetlerini artırmıştır. - Cleo Sözcüsü
Veeam servis sağlayıcı konsolundaki kritik RCE hatasını uyarıyor
Bilgisayar korsanları Array Networks'teki Kritik Hatayı İstismar SSL VPN Ürünleri
Yakın zamanda yamalı böcekler kullanılarak 2.000'den fazla Palo Alto Güvenlik Duvarı saldırıya uğradı
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
Kaynak: Bleeping Computer