Hackers estão explorando ativamente uma vulnerabilidade zero-day no software de transferência de arquivos gerenciados da Cleo para invadir redes corporativas e realizar ataques de roubo de dados.
A falha está presente nos produtos de transferência segura de arquivos da empresa, Cleo LexiCom, VLTrader e Harmony, sendo uma falha que permite o upload e download de arquivos sem restrições, o que leva à execução remota de código.
A vulnerabilidade do Cleo MFT afeta as versões 5.8.0.21 e anteriores e é uma maneira de contornar uma falha previamente corrigida, CVE-2024-50623, que a Cleo abordou em outubro de 2024.
No entanto, a correção foi incompleta, permitindo que atores de ameaças a contornassem e continuassem a explorá-la em ataques.
A Cleo afirma que seu software é utilizado por 4.000 empresas em todo o mundo, incluindo Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola e Duraflame.
Esses ataques lembram ataques anteriores de roubo de dados do Clop que exploravam zero-days em produtos de transferência de arquivos gerenciados, incluindo a exploração em massa de 2023 do MOVEit Transfer, os ataques usando um zero-day do GoAnywhere MFT e a exploração zero-day de dezembro de 2020 dos servidores Accellion FTA.
No entanto, o especialista em cibersegurança Kevin Beaumont afirma que esses ataques de roubo de dados da Cleo estão ligados ao novo grupo de ransomware Termite, que recentemente violou a Blue Yonder, um provedor de software de cadeia de suprimentos usado por muitas empresas em todo o mundo.
"Operadores do grupo de ransomware Termite (e talvez outros grupos) têm um exploit zero-day para o Cleo LexiCom, VLTrader e Harmony", Beaumont postou no Mastodon.
A exploração ativa do software Cleo MFT foi inicialmente detectada pelos pesquisadores de segurança da Huntress, que também publicaram um exploit proof of concept (PoC) em um novo relatório alertando os usuários a tomarem medidas urgentes.
"Esta vulnerabilidade está sendo ativamente explorada no campo e sistemas totalmente atualizados rodando a versão 5.8.0.21 ainda são exploráveis", explica a Huntress.
Recomendamos fortemente que mova quaisquer sistemas Cleo expostos à internet para trás de um firewall até que uma nova correção seja lançada.
A evidência da exploração ativa do CVE-2024-50623 começou em 3 de dezembro de 2024, com um aumento significativo no volume de ataques observado em 8 de dezembro.
Embora a atribuição permaneça incerta, os ataques estão vinculados aos seguintes endereços IP nos Estados Unidos, Canadá, Países Baixos, Lituânia e Moldávia.
Os ataques exploram a falha da Cleo para escrever arquivos nomeados 'healthchecktemplate.txt' ou 'healthcheck.txt' no diretório 'autorun' dos endpoints visados, que são automaticamente processados pelo software da Cleo.
Quando isso ocorre, os arquivos invocam funcionalidades de importação integradas para carregar payloads adicionais como arquivos ZIP contendo configurações XML ('main.xml'), que contêm comandos PowerShell que serão executados.
Os comandos PowerShell fazem conexões de retorno para endereços IP remotos, baixam payloads adicionais JAR e apagam arquivos maliciosos para dificultar a investigação forense.
Na fase pós-exploração, a Huntress diz que os atacantes usam 'nltest.exe' para enumerar domínios do Active Directory, implantar webshells para acesso remoto persistente em sistemas comprometidos e usar canais TCP para finalmente roubar dados.
Ao terminar de explorar sistemas, os atores de ameaças executam comandos PowerShell para deletar arquivos do ataque, como 'C:\LexiCom\cleo.1142'.
A telemetria da Huntress indica que esses ataques impactaram pelo menos dez organizações que utilizam produtos de software da Cleo, algumas das quais atuam em produtos de consumo, na indústria alimentícia, transporte rodoviário e transporte marítimo.
A Huntress observa que há mais vítimas potenciais além de sua visibilidade, com varreduras na internet Shodan retornando 390 resultados para produtos de software da Cleo, sendo a grande maioria (298) de servidores vulneráveis localizados nos Estados Unidos.
Yutaka Sejiyama, um pesquisador de ameaças na Macnica, disse que suas varreduras retornam 379 resultados para Harmony, 124 para VLTrader e 240 para LexiCom.
Dada a exploração ativa do CVE-2024-50623 e a ineficácia do patch atual (versão 5.8.0.21), os usuários devem tomar medidas imediatas para mitigar o risco de comprometimento.
A Huntress sugere mover sistemas expostos à internet para trás de um firewall e restringir o acesso externo aos sistemas Cleo.
As empresas podem verificar se seus servidores Cleo foram comprometidos procurando por arquivos TXT e XML suspeitos nos diretórios 'C:\LexiCom', 'C:\VLTrader' e 'C:\Harmony', e inspecionar os logs para execução de comandos PowerShell.
Arquivos XML maliciosos serão encontrados na pasta 'hosts' e contêm comandos bash (no Linux) ou PowerShell (no Windows).
A Cleo lançou scripts para Linux e Windows que podem ajudar a encontrar esses arquivos XML maliciosos.
Por fim, a Huntress sugere remover quaisquer arquivos "Cleo####.jar" (por exemplo, cleo.5264.jar ou cleo.6597.jar) sob o Harmony/VLTrader/Lexicom, pois provavelmente foram enviados durante a exploração da vulnerabilidade.
Também é recomendado desativar o recurso de autorun seguindo estes passos:
1.Abra o aplicativo Cleo (LexiCom, VLTrader ou Harmony);
2.Navegue até: Configurar > Opções > Painel Outros;
3.Limpe o campo etiquetado como Diretório de Autorun;
4.Salve as alterações.
A Huntress diz que a Cleo espera que uma nova atualização de segurança para essa falha seja lançada ainda esta semana.
"Identificamos uma vulnerabilidade crítica nas instâncias dos produtos Cleo Harmony, VLTrader e LexiCom", disse a Cleo.
Imediatamente após descobrir a vulnerabilidade, lançamos uma investigação com a assistência de especialistas externos em cibersegurança, notificamos os clientes sobre este problema e fornecemos etapas de mitigação que os clientes devem tomar imediatamente para abordar a vulnerabilidade enquanto um patch está em desenvolvimento.
"Nossa investigação está em andamento. Incentivamos os clientes a verificar regularmente a página de boletim de segurança da Cleo para atualizações. A Cleo permanece focada em apoiar seus clientes e estendeu serviços de suporte ao cliente aprimorados 24/7 àqueles que precisam de assistência técnica adicional para abordar essa vulnerabilidade," finaliza a empresa.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...