CISA bugün Cleo Harmony, Vltrader ve Lexicom dosya transfer yazılımında fidye yazılımı saldırılarında kullanıldığını doğruladı.
Bu kusur (CVE-2024-50623 olarak izlenir ve sürüm 5.8.0.21'den önce tüm sürümleri etkilemek), kimlik doğrulanmamış saldırganların çevrimiçi olarak maruz kalan savunmasız sunucularda uzaktan kod yürütülmesini sağlar.
Cleo, Ekim ayında düzeltmek için güvenlik güncellemeleri yayınladı ve tüm müşterileri ek potansiyel saldırı vektörlerine "hemen yükseltme" konusunda uyardı.
Şirket, CVE-2024-50623'ün vahşi doğada hedeflendiğini açıklamamıştır; Bununla birlikte, CISA, güvenlik hatasını bilinen sömürülen güvenlik açıkları kataloğuna ekleyerek fidye yazılımı kampanyalarında kullanıldığı gibi etiketledi.
KEV kataloğuna eklenmesinin ardından, ABD federal ajansları, Kasım 2021'de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde 3 Ocak'a kadar başvurarak saldırılara karşı ağlarını güvence altına almalıdır.
Siber Güvenlik Ajansı, CLEO sunucularını hedefleyen fidye yazılımı kampanyası hakkında CVE-2024-50623 istismarlarına karşı savunmasız bırakılmasa da, bu saldırılar Moveit Transfer'de sıfır günleri sömüren önceki klop veri hırsızlığı saldırılarına benzer şekilde, Goanywhere MFT. ve son yıllarda ACCELLION FTA.
Bazıları da kusurun termit fidye yazılımı işlemi tarafından kullanıldığına inanıyor. Bununla birlikte, bu bağlantının sadece Blue Yonder'ın maruz kalan bir Cleo yazılım sunucusu olduğu ve fidye yazılımı tarafından talep edilen bir siber saldırıda ihlal edildiğinden yapıldığına inanılmaktadır.
Huntress Güvenlik Araştırmacılarının on gün önce ilk keşfettiği gibi, tamamen yamalı CLEO sunucuları hala tehlikeye atılıyordu, muhtemelen saldırganların rasgele PowerShell veya Bash komutlarını içe aktarmasını ve yürütmesini sağlayan bir CVE-2024-50623 bypass (henüz bir CVE kimliği almamış) kullanılarak tehlikeye giriyordu. Varsayılan Autorun klasör ayarlarından yararlanarak.
Cleo şimdi bu aktif olarak sömürülen sıfır gün hatasını düzeltmek için yamalar yayınladı ve müşterileri, internete maruz kalan sunucuları ihlal girişimlerinden korumak için mümkün olan en kısa sürede 5.8.0.24 sürümüne yükseltmeye çağırdı.
Şirket, "Yamayı uyguladıktan sonra, başlangıçta bu istismarla ilgili bulunan herhangi bir dosya için hatalar kaydedilir ve bu dosyalar kaldırılır."
Hemen yükseltemeyen yöneticilerin, saldırı yüzeyini azaltmak için Autorun dizinini sistem seçeneklerinden temizleyerek Autorun özelliğini devre dışı bırakmaları tavsiye edilir.
Rapid7, sıfır gün saldırılarını araştırırken bulduğu gibi, tehdit aktörleri daha büyük bir Java tabanlı Java tabanlı sömürü sonrası çerçevenin bir Java Arşivi (JAR) yükü [Virustotal] kısmını düşürmek için sıfır gününü kullandı.
Kötü amaçlı yazılımları da analiz eden ve Malichus adını veren Huntress, Linux desteği ile birlikte gelmesine rağmen, sadece Windows cihazlarına dağıtıldığını söyledi.
Devam eden saldırılara bakan başka bir siber güvenlik firması olan İkili Savunma ARC Labs'a göre, kötü amaçlı yazılım operatörleri Malichus'u dosya transferleri, komut yürütme ve ağ iletişimi için kullanabilir.
Şimdiye kadar Huntress, Cleo sunucuları tehlikeye atılan ve muhtemelen başka potansiyel kurbanlar olduğunu söyledi. Sophos'un MDR ve Labs ekipleri de 50'den fazla CLEO sunucusunda uzlaşma göstergeleri buldu.
CLEO sözcüsü, CVE-2024-50623 kusurunun sıfır gün olarak saldırılarda kullanıldığını doğrulamak için bugün daha önce BleepingComputer tarafından temasa geçildiğinde hemen mevcut değildi.
Veri hırsızlığı saldırılarında sömürülen yeni Cleo sıfır gün RCE kusuru
Bilgisayar korsanları Array Networks'teki Kritik Hatayı İstismar SSL VPN Ürünleri
Yakın zamanda yamalı böcekler kullanılarak 2.000'den fazla Palo Alto Güvenlik Duvarı saldırıya uğradı
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
Kaynak: Bleeping Computer