RCE-уязвимость в продуктах Cleo используется для массовых атак

[Artifact]

Исследователи предупреждают: хакеры активно используют 0-day уязвимость в ПО Cleo для передачи файлов. Злоумышленники взламывают корпоративные сети с целью кражи данных и проведения дальнейших атак.
Проблема представляет угрозу для таких продуктов компании как LexiCom, VLTrader и Harmony, предназначенных для безопасной передачи файлов. Уязвимость позволяет неограниченно загружать и скачивать произвольные файлы, что в итоге ведет к удаленному выполнению кода.
Уязвимость затрагивает версию 5.8.0.21 и более ранние и представляет собой обход уже исправленного бага https://nvd.nist.gov/vuln/detail/CVE-2024-50623, который разработчики Cleo https://support.cleo.com/hc/en-us/ar...urity-Advisoryеще в октябре 2024 года. Так как патч оказался неэффективным, злоумышленники нашли способ его обхода и продолжают эксплуатировать уязвимость в атаках.
Проблема осложняется тем, что продуктами Cleo пользуются более 4000 компаний по всему миру, включая таких гигантов как Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola и Duraflame.
По http://infosec.exchange/@GossiTheDog...28340687720384известного ИБ-эксперта Кевина Бомонта (Kevin Beaumont), атаки на уязвимость в Cleo связаны с новой вымогательской группировкой Termite. Совсем недавно эти же злоумышленники https://blueyonder.com/customer-updateSaaS-компанию Blue Yonder, решения которой тоже используются множеством компаний по всему миру.
Первыми атаки на Cleo MFT (Managed File Transfer) https://www.huntress.com/blog/threat...ed-in-the-wildисследователи из компании Huntress, которые также опубликовали proof-of-concept эксплоит и предупредили пользователей о необходимости срочно принять меры. По их данным, активная эксплуатация CVE-2024-50623 началась 3 декабря 2024 года, и количество атак заметно возросло 8 декабря.
Хотя пока доподлинно неизвестно, кто именно стоит за этими атаками, эксперты отмечают, что попытки эксплуатации в основном исходят с IP-адресов в США, Канаде, Нидерландах, Литве и Молдове.
Атакующие используют уязвимость для записи файлов с именами healthchecktemplate.txt или healthcheck.txt в каталог autorun в целевых системах, и эти файлы автоматически обрабатываются софтом Cleo. Когда это происходит, файлы вызывают встроенные функции импорта для загрузки дополнительной полезной нагрузки, например файлов ZIP с XML-конфигурациями (main.xml), которые содержат PowerShell-команды для выполнения.
Такие PowerShell-команды используются для установки обратного соединения с удаленными IP-адресами, загружают дополнительные JAR и стирают вредоносные файлы, чтобы затруднить последующее расследование атаки.

Специалисты Huntress пишут, что на этапе постэксплуатации злоумышленники используют nltest.exe для создания списка доменов Active Directory, развертывают веб-шеллы для поддержания удаленного доступа к взломанным системам и используют TCP-каналы для кражи данных.
По данным экспертов, эти атаки уже затронули как минимум десять организаций, использующих продукты Cleo. Хотя названия пострадавших компаний не раскрываются, известно, что некоторые из них работают в сфере потребительских товаров, пищевой промышленности, грузоперевозок и транспортировки.
При этом жертв может стать гораздо больше: согласно данным Shodan, в сети доступны https://www.shodan.io/search?query=Cleo+5.8.0.* систем с продуктами Cleo. Подавляющее большинство из них (298) расположено в США.
Учитывая активную эксплуатацию CVE-2024-50623 и неэффективность текущего патча (вышедшего в составе версии 5.8.0.21), пользователям рекомендуется принять срочные меры по снижению рисков. Так, Huntress советует перенести системы с доступом в интернет за брандмауэр и ограничить любой внешний доступ к продуктам Cleo.
Компании могут проверить, не пострадали ли от атак их серверы. Для этого нужно поискать подозрительные TXT- и XML-файлы в каталогах C:\LexiCom, C:\VLTrader и C:\Harmony и проверить логи на предмет выполнения PowerShell-команд.
Также вредоносные XML-файлы можно обнаружить в папке hosts: они содержат bash-команды (в Linux) или PowerShell (в Windows). Разработчики Cleo уже подготовили специальные скрипты для https://cleo-infoeng.s3.us-east-2.am...tine_hosts.zipи https://cleo-infoeng.s3.us-east-2.am...tine_hosts.ps1, которые помогут в поисках вредоносных XML-файлов.
Кроме того, Huntress рекомендует удалить все файлы «Cleo####.jar» (например, cleo.5264.jar или cleo.6597.jar) в Harmony/VLTrader/Lexicom, поскольку они, скорее всего, были загружены во время эксплуатации уязвимости. Также рекомендуется отключить функцию автозапуска.
Ожидается, что новый патч для проблемы CVE-2024-50623, который уже находится в разработке, должен выйти на этой неделе.
Представители Cleo https://www.bleepingcomputer.com/new...theft-attacks/, что изучение уязвимости и расследование атак, к которому были привлечены сторонние ИБ-эксперты, еще продолжается. В компании советуют клиентам почаще проверять посвященный этой проблеме бюллетень безопасности на предмет обновлений.
https://xakep.ru/2024/12/11/cleo-rce/