(https://i.postimg.cc/vH08bJBx/0-Days.png) (https://postimg.cc/qzCHGZ2p)
Los piratas informáticos están explotando activamente una vulnerabilidad de día cero en el software de transferencia de archivos administrados de Cleo para vulnerar las redes corporativas y llevar a cabo ataques de robo de datos.
La falla se encuentra en los productos de transferencia de archivos seguros de la empresa, Cleo LexiCom, VLTrader y Harmony, y es una falla que permite la carga y descarga de archivos sin restricciones, lo que conduce a la ejecución remota de código.
La vulnerabilidad MFT de Cleo afecta a las versiones 5.8.0.21 y anteriores y es una forma de evitar una falla previamente corregida, CVE-2024-50623, que Cleo abordó en octubre de 2024. Sin embargo, la corrección no estaba completa, lo que permitió a los actores de amenazas evitarla y seguir explotándola en ataques.
Cleo afirma que su software es utilizado por 4.000 empresas en todo el mundo, incluidas Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola y Duraflame.
Estos ataques recuerdan a ataques anteriores de robo de datos de Clop que explotaban los días cero en productos de transferencia de archivos administrados, incluida la explotación masiva de 2023 de MOVEit Transfer, los ataques que utilizaban un día cero de GoAnywhere MFT y la explotación de día cero de diciembre de 2020 de los servidores FTA de Accellion.
Sin embargo, el experto en ciberseguridad Kevin Beaumont afirma que estos ataques de robo de datos de Cleo están vinculados a la nueva banda de ransomware Termite, que recientemente vulneró los datos de Blue Yonder, un proveedor de software de cadena de suministro utilizado por muchas empresas de todo el mundo.
"Los operadores del grupo de ransomware Termite (y tal vez otros grupos) tienen un exploit de día cero para Cleo LexiCom, VLTransfer y Harmony", publicó Beaumont en Mastodon.
Ataques en la red
Los investigadores de seguridad de Huntress detectaron por primera vez la explotación activa del software Cleo MFT, que también publicó una prueba de concepto (PoC) en un nuevo artículo en el que advertía a los usuarios que tomaran medidas urgentes.
"Esta vulnerabilidad se está explotando activamente en la red y los sistemas con todos los parches que ejecutan la versión 5.8.0.21 aún son explotables", explica Huntress.
"Recomendamos encarecidamente que traslade cualquier sistema Cleo expuesto a Internet detrás de un cortafuegos hasta que se publique un nuevo parche".
La evidencia de explotación activa de CVE-2024-50623 comenzó el 3 de diciembre de 2024, con un aumento significativo en el volumen de ataques observado el 8 de diciembre.
Aunque la atribución sigue sin estar clara, los ataques están vinculados a las siguientes direcciones IP en Estados Unidos, Canadá, Países Bajos, Lituania y Moldavia.
(https://i.postimg.cc/65S4XT6m/IP-addresses.png) (https://postimages.org/)
Los ataques aprovechan la falla de Cleo para escribir archivos llamados 'healthchecktemplate.txt' o 'healthcheck.txt' en el directorio 'autorun' de los endpoints de destino, que son procesados automáticamente por el software de Cleo.
Cuando esto sucede, los archivos invocan funcionalidades de importación integradas para cargar cargas útiles adicionales, como archivos ZIP que contienen configuraciones XML ('main.xml'), que contienen comandos de PowerShell que se ejecutarán.
Exploit ejecutando comandos de PowerShell en dispositivos vulnerables
(https://i.postimg.cc/MG0nVD7C/Exploit-executing-Power-Shell.png) (https://postimg.cc/1gtRZDYB)
Los comandos de PowerShell realizan conexiones de devolución de llamada a direcciones IP remotas, descargan cargas útiles JAR adicionales y borran archivos maliciosos para obstaculizar la investigación forense.
En la fase posterior a la explotación, Huntress dice que los atacantes usan 'nltest.exe' para enumerar dominios de Active Directory, implementar webshells para acceso remoto persistente en sistemas comprometidos y usar canales TCP para robar datos en última instancia.
Cuando terminan de explotar los sistemas, los actores de amenazas ejecutan comandos de PowerShell para eliminar archivos del ataque, como 'C:\LexiCom\cleo.1142'.
La telemetría de Huntress indica que estos ataques han afectado al menos a diez organizaciones que utilizan productos de software Cleo, algunas de las cuales se dedican a productos de consumo, la industria alimentaria, el transporte por carretera y el envío.
Huntress señala que hay más víctimas potenciales más allá de su visibilidad, ya que los escaneos de Internet de Shodan arrojaron 390 resultados para productos de software Cleo. La gran mayoría (298) de los servidores vulnerables se encuentran en los Estados Unidos.
Yutaka Sejiyama, un investigador de amenazas de Macnica, dijo a BleepingComputer que sus análisis arrojaron 379 resultados para Harmony, 124 para VLTrader y 240 para LexiCom.
Acción requerida
Dada la explotación activa de CVE-2024-50623 y la ineficacia del parche actual (versión 5.8.0.21), los usuarios deben tomar medidas inmediatas para mitigar el riesgo de vulneración.
Huntress sugiere mover los sistemas expuestos a Internet detrás de un cortafuegos y restringir el acceso externo a los sistemas Cleo.
Las empresas pueden comprobar si sus servidores Cleo se vieron comprometidos buscando archivos TXT y XML sospechosos en los directorios 'C:\LexiCom', 'C:\VLTrader' y 'C:\Harmony', e inspeccionar los registros en busca de la ejecución de comandos de PowerShell.
Los archivos XML maliciosos se encontrarán en la carpeta 'hosts' y contendrán comandos bash (en Linux) o PowerShell (en Windows). Cleo ha publicado scripts tanto para Linux como para Windows que pueden ayudar a encontrar estos archivos XML maliciosos.
Por último, Huntress sugiere eliminar todos los archivos "Cleo####.jar", por ejemplo cleo.5264.jar o cleo.6597.jar) de Harmony/VLTrader/Lexicom, ya que probablemente se hayan cargado durante la explotación de la vulnerabilidad.
Además, se recomienda desactivar la función de ejecución automática siguiendo estos pasos:
Abra la aplicación Cleo (LexiCom, VLTrader o Harmony)
Vaya a: Configurar > Opciones > Otro panel
Limpie el campo etiquetado Directorio de ejecución automática
Guarde los cambios
Huntress dice que Cleo espera que se publique una nueva actualización de seguridad para esta falla a finales de esta semana.
BleepingComputer le hizo preguntas adicionales a Cleo sobre la vulnerabilidad y le dijeron que la actualización de seguridad estaba "en desarrollo".
"Hemos identificado una vulnerabilidad crítica en instancias de productos Cleo Harmony, VLTrader y LexiCom", le dijo Cleo a BleepingComputer.
"Inmediatamente después de descubrir la vulnerabilidad, iniciamos una investigación con la ayuda de expertos externos en ciberseguridad, notificamos a los clientes sobre este problema y proporcionamos los pasos de mitigación que los clientes deben tomar de inmediato para abordar la vulnerabilidad mientras se desarrolla un parche".
"Nuestra investigación está en curso. Se recomienda a los clientes que consulten la página web del boletín de seguridad de Cleo con regularidad para obtener actualizaciones. Cleo sigue centrada en brindar soporte a sus clientes y ha ampliado los servicios de soporte al cliente 24 horas al día, 7 días a la semana, para aquellos que necesitan asistencia técnica adicional para abordar esta vulnerabilidad".
BleepingComputer se comunicó nuevamente con Cleo para ver si hay un plazo para que la solución de seguridad esté lista, pero no recibió respuesta.
Actualización: Se agregó la declaración de Cleo y más información técnica. También se corrigió la CVE incorrecta al comienzo del artículo.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-cleo-zero-day-rce-flaw-exploited-in-data-theft-attacks/