Η CISA επιβεβαιώνει την κρίσιμη εκμετάλλευση σφαλμάτων Cleo σε επιθέσεις ransomware

Η CISA επιβεβαίωσε σήμερα ότι μια κρίσιμη ευπάθεια ασφαλείας στο λογισμικό μεταφοράς αρχείων Cleo Harmony, VLTrader και LexiCom χρησιμοποιείται για επιθέσεις ransomware.

Αυτό το ελάττωμα (που παρακολουθείται ως CVE-2024-50623 και επηρεάζει όλες τις εκδόσεις πριν από την έκδοση 5.8.0.21) επιτρέπει στους εισβολείς χωρίς έλεγχο ταυτότητας να αποκτούν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους διακομιστές που εκτίθενται στο διαδίκτυο.

Η Cleo κυκλοφόρησε ενημερώσεις ασφαλείας για να το διορθώσει τον Οκτώβριο και προειδοποίησε όλους τους πελάτες να “αναβαθμίσουν άμεσα τις περιπτώσεις” σε πρόσθετους πιθανούς φορείς επιθέσεων.

Η εταιρεία δεν έχει αποκαλύψει ότι το CVE-2024-50623 στοχοποιήθηκε στη φύση. ωστόσο την Παρασκευή η CISA πρόσθεσε το σφάλμα ασφαλείας στον κατάλογό της με γνωστές εκμεταλλευόμενες ευπάθειες, επισημαίνοντας ότι χρησιμοποιείται σε καμπάνιες ransomware.

Μετά την προσθήκη του στον κατάλογο KEV, οι ομοσπονδιακές υπηρεσίες των ΗΠΑ πρέπει να ασφαλίσουν τα δίκτυά τους από επιθέσεις υποβάλλοντας αίτηση έως τις 3 Ιανουαρίου, όπως απαιτείται από τη δεσμευτική επιχειρησιακή οδηγία (ΔΣ 22-01) που εκδόθηκε τον Νοέμβριο του 2021.

Αν και η υπηρεσία κυβερνοασφάλειας δεν παρείχε άλλες πληροφορίες σχετικά με την καμπάνια ransomware που στοχεύει διακομιστές Cleo που έχουν παραμείνει ευάλωτοι σε εκμεταλλεύσεις CVE-2024-50623, αυτές οι επιθέσεις είναι ασυνήθιστα παρόμοιες με την προηγούμενη κλοπή δεδομένων Clop επιθέσεις που εκμεταλλεύτηκε τις ημέρες μηδέν στα MOVEit Transfer, GoAnywhere MFT και Accellion FTA τα τελευταία χρόνια.

Ορισμένοι πιστεύουν επίσης ότι το ελάττωμα εκμεταλλεύτηκε η επιχείρηση ransomware Termite. Ωστόσο, πιστεύεται ότι αυτός ο σύνδεσμος έγινε μόνο επειδή ο Blue Yonder είχε έναν εκτεθειμένο διακομιστή λογισμικού Cleo και παραβιάστηκαν σε μια κυβερνοεπίθεση που αξιώθηκε από τη συμμορία ransomware.

Cleo zero-day επίσης εκμεταλλεύονται ενεργά

Όπως ανακάλυψαν για πρώτη φορά οι ερευνητές ασφαλείας του Huntress πριν από δέκα ημέρες, οι πλήρως διορθωμένοι διακομιστές Cleo εξακολουθούσαν να παραβιάζονται, πιθανότατα χρησιμοποιώντας μια παράκαμψη CVE-2024-50623 (η οποία δεν έχει λάβει ακόμη CVE ID) που επιτρέπει στους εισβολείς να εισάγουν και να εκτελούν αυθαίρετες εντολές PowerShell ή bash αξιοποιώντας τις προεπιλεγμένες ρυθμίσεις φακέλου Autorun.

Η Cleo κυκλοφόρησε τώρα ενημερώσεις κώδικα για να διορθώσει αυτό το σφάλμα zero-day που χρησιμοποιήθηκε ενεργά και προέτρεψε τους πελάτες να αναβάθμιση στην έκδοση 5.8.0.24 το συντομότερο δυνατό για την ασφάλεια των διακομιστών που είναι εκτεθειμένοι στο Διαδίκτυο από προσπάθειες παραβίασης.

“Μετά την εφαρμογή της ενημέρωσης κώδικα, καταγράφονται σφάλματα για τυχόν αρχεία που βρέθηκαν κατά την εκκίνηση και σχετίζονται με αυτό το exploit και αυτά τα αρχεία καταργούνται”, η εταιρεία προστέθηκε.

Συνιστάται στους διαχειριστές που δεν μπορούν να κάνουν άμεση αναβάθμιση να απενεργοποιήσουν τη δυνατότητα Autorun καθαρίζοντας τον κατάλογο Autorun από τις Επιλογές συστήματος για να μειώσουν την επιφάνεια επίθεσης.

Ως Rapid7 θεμελιώ κατά τη διερεύνηση των επιθέσεων zero-day, οι παράγοντες απειλών εκμεταλλεύτηκαν το zero-day για να ρίξουν ένα ωφέλιμο φορτίο Java Archive (JAR). [VirusTotal] μέρος ενός ευρύτερου πλαισίου μετά την εκμετάλλευση βασισμένο σε Java.

Huntress, η οποία επίσης ανέλυσε το κακόβουλο λογισμικό και το ονόμασε Malichus, είπε ότι το βρήκε να αναπτύσσεται μόνο σε συσκευές Windows, αν και έρχεται επίσης με υποστήριξη Linux.

Σύμφωνα με Binary Defense ARC Labsμια άλλη εταιρεία κυβερνοασφάλειας που εξέτασε τις συνεχιζόμενες επιθέσεις, οι χειριστές κακόβουλου λογισμικού μπορούν να χρησιμοποιήσουν το Malichus για μεταφορές αρχείων, εκτέλεση εντολών και επικοινωνία δικτύου.

Μέχρι στιγμής, η Huntress έχει ανακαλύψει τουλάχιστον δύο δωδεκάδες εταιρείες των οποίων οι διακομιστές Cleo είχαν παραβιαστεί και είπε ότι πιθανότατα υπάρχουν άλλα πιθανά θύματα. Οι ομάδες MDR και Labs της Sophos βρήκαν επίσης δείκτες συμβιβασμού σε πάνω από 50 οικοδεσπότες Cleo.

Οι εκπρόσωποι του Cleo δεν ήταν άμεσα διαθέσιμοι όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα για να επιβεβαιώσει ότι το ελάττωμα CVE-2024-50623 χρησιμοποιήθηκε σε επιθέσεις ως μηδενική ημέρα.