A Cleo lançou atualizações de segurança para uma falha zero-day em seu software LexiCom, VLTransfer e Harmony, atualmente explorada em ataques de roubo de dados.
Em outubro, a empresa corrigiu uma vulnerabilidade de execução remota de código pré-autenticação (CVE-2024-50623) em seu software de transferência de arquivos gerenciada e recomendou que "todos os clientes façam o upgrade imediatamente."
Pesquisadores de segurança da Huntress avistaram pela primeira vez evidências de ataques mirando o software da Cleo totalmente atualizado em 3 de dezembro.
Isso foi seguido por um aumento notável na atividade no domingo, 8 de dezembro, após os atacantes descobrirem rapidamente uma maneira de contornar a CVE-2024-50623 (sem um ID de CVE) que permite importar e executar comandos bash ou PowerShell arbitrários explorando as configurações padrões da pasta Autorun.
Este bug zero-day agora está sendo explorado em ataques em andamento, ligados pelo expert em cibersegurança Kevin Beaumont à gangue de ransomware Termite, que recentemente reivindicou a invasão do provedor de SaaS Blue Yonder.
"Esta vulnerabilidade está sendo ativamente explorada na prática e sistemas totalmente atualizados rodando a versão 5.8.0.21 ainda são passíveis de exploração," a Huntress alertou na segunda-feira(09).
"Recomendamos fortemente que você mova quaisquer sistemas da Cleo expostos à internet para trás de um firewall até que um novo patch seja lançado."
O Shodan atualmente rastreia 421 servidores da Cleo em todo o mundo, 327 dos quais estão nos Estados Unidos.
O pesquisador de ameaças da Macnica, Yutaka Sejiyama, também encontrou 743 servidores da Cleo acessíveis online (379 rodando o software Harmony, 124 VLTrader e 240 LexiCom).
A Cleo lançou patches para bloquear ataques em andamento e instou os clientes a fazerem upgrade para a versão 5.8.0.24 o mais rápido possível para proteger os servidores expostos à Internet vulneráveis a tentativas de invasão.
"A Cleo aconselha fortemente todos os clientes a fazerem imediatamente o upgrade das instâncias de Harmony, VLTrader e LexiCom para o patch mais recentemente lançado (versão 5.8.0.24) para abordar vetores de ataque potenciais adicionais da vulnerabilidade descobertos," disse a empresa.
"Após aplicar o patch, erros são registrados para quaisquer arquivos encontrados na inicialização relacionados a essa exploração, e esses arquivos são removidos," acrescentou.
A Cleo aconselha aqueles que não podem fazer upgrade imediatamente a desabilitar o recurso Autorun, acessando as Opções do Sistema e limpando o diretório Autorun (isso não bloqueará ataques vindouros, mas reduzirá a superfície de ataque).
Os atores de ameaças exploraram a falha agora corrigida para implantar uma payload de Arquivo Java (JAR) codificada [VirusTotal] que faz parte de um framework de pós-exploração baseado em Java maior, como a Rapid7 descobriu durante a investigação dos ataques.
A Huntress também analisou o malware (agora nomeado Malichus) e disse que ele foi implantado apenas em dispositivos Windows, embora também venha com suporte a Linux.
De acordo com os ARC Labs da Binary Defense, operadores de malware podem usar o Malichus para transferências de arquivos, execução de comandos e comunicação de rede.
Até agora, a Huntress descobriu pelo menos dez empresas cujos servidores da Cleo foram hackeados nesses ataques em andamento e disse que há outras vítimas em potencial.
A Sophos também encontrou indicadores de comprometimento em mais de 50 hosts da Cleo.
"Todos os clientes impactados observados têm uma filial ou operam dentro da América do Norte, principalmente nos EUA. Notamos que a maioria dos clientes afetados observados são organizações de varejo," disse a Sophos.
Estes ataques são muito semelhantes aos ataques de roubo de dados do Clop visando zero-days no MOVEit Transfer, GoAnywhere MFT e Accellion FTA nos últimos anos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...