Atacatorii au profitat de o vulnerabilitate zero-day în produsele de transfer de fișiere gestionate de Cleo Communications, expunându-și serverele la risc de execuție de cod de la distanță (RCE). Cercetătorii recomandă deconectarea temporară a acestor sisteme de la internet până la lansarea unui patch corespunzător.
TLDR
- Exploatarea activă a unei vulnerabilități RCE în soluțiile de transfer de fișiere Cleo.
- Produsele afectate includ Cleo LexiCom, VLTrader și Harmony.
- Sfat de a deconecta temporar serverele afectate de la internet.
Detalii despre vulnerabilitate
Produsele Cleo, cum ar fi LexiCom, VLTrader și Harmony, sunt afectate de o vulnerabilitate de tip remote code execution (RCE) printr-o breșă de upload fișiere necontrolată. Această vulnerabilitate a fost semnalată de către Huntress și Rapid7, care au confirmat exploatarea vulnerabilității în sălbăticie.
Ineficiența patch-urilor
Patch-ul publicat de Cleo în octombrie pentru a aborda CVE-2024-50623 nu a acoperit toate căile de atac posibile, lăsând sistemele expuse. Acest lucru a permis atacatorilor să scrie fișiere malițioase pe servere, care eventual se execută automat, creând oportunități pentru comenzi PowerShell dăunătoare.
Măsuri de protecție
O metodă temporară de migrare poate include dezactivarea funcționalității de director de autorun în software-ul Cleo prin meniurile de configurare ale acestuia. Cu toate acestea, izolarea serverelor vulnerabile de internet rămâne cea mai bună soluție temporară, recomandată de experții de la Rapid7.
Protejarea împotriva atacurilor similare
Pentru a se proteja împotriva unor astfel de atacuri, este esențial ca organizațiile să verifice în mod regulat actualizările de securitate și să implementeze măsuri adecvate de izolare a serverelor, inclusiv adăugarea unui firewall suplimentar și stabilirea unor reguli stricte de acces la rețea.