Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Cleo’nun dosya aktarım yazılımındaki kritik bir güvenlik açığının fidye yazılımı çeteleri tarafından aktif olarak kullanıldığı konusunda acil bir uyarı yayınladı.
Başlangıçta CVE-2024-50623 olarak tanımlanan güvenlik açığı, işletmelerin güvenli dosya paylaşımı için yaygın olarak kullandığı Cleo Harmony, VLTrader ve LexiCom ürünlerini etkiliyor.
İlk olarak Ekim 2024’te açıklanan CVE-2024-50623’ün 5.8.0.21 sürümünde yamalanacağı düşünülüyordu. Ancak Huntress’in güvenlik araştırmacıları yamanın yetersiz olduğunu ve sistemlerin istismara açık hale geldiğini keşfetti.
Bu kusur, kimliği doğrulanmamış saldırganların kötü amaçlı dosyalar yüklemesine ve sistemin otomatik çalıştırma özelliğini kötüye kullanmasına olanak tanıyarak, potansiyel olarak yükseltilmiş ayrıcalıklarla uzaktan kod yürütülmesine (RCE) yol açabilir.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
CISA, CVE-2024-50623’ü Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek fidye yazılımı kampanyalarında kullanımını doğruladı. Federal kurumlara, etkilenen sistemlere 3 Ocak 2025’e kadar yama uygulaması talimatı verildi.
Bu güvenlik açığından 3 Aralık 2024’ten bu yana yararlanılıyor ve 8 Aralık’ta kaydedilen saldırılarda artış görüldü. Etkilenen kuruluşlar; tüketici ürünleri, gıda, kamyon taşımacılığı ve nakliye gibi çeşitli sektörleri kapsıyor.
Malichus Kötü Amaçlı Yazılımından Yararlandı
Araştırmacılar, Cleo hatasını kullanan saldırganlar tarafından dağıtılan “Malichus” adlı yeni bir kötü amaçlı yazılım ailesi tespit etti. Bu gelişmiş kötü amaçlı yazılım, tehdit aktörlerinin Cleo yazılımı hakkındaki derin bilgilerini ortaya koyuyor.
Devam eden tehdide yanıt olarak Cleo, orijinal CVE’yi ve yeni keşfedilen sıfır gün güvenlik açığını gidermek için 13 Aralık 2024’te yeni bir yama yayınladı.
Şirket, müşterilerini derhal Harmony, VLTrader ve LexiCom yazılımının en son sürümlerine yükseltmeye çağırıyor.
Güvenlik uzmanları, kimliği doğrulanmamış kullanıcıların rastgele bash veya PowerShell komutlarını içe aktarmasına ve yürütmesine olanak tanıyan ek güvenlik açığı için yeni bir CVE tanımlayıcısının atanmasındaki gecikmeyle ilgili endişelerini dile getiriyor.
Savunmacılar, saldırı yüzeyini azaltmak için geçici bir hafifletme önlemi olarak Cleo yazılımındaki otomatik çalıştırma işlevinin devre dışı bırakılmasını öneriyor. Ancak bu adım tek başına rastgele dosya yazma güvenlik açığını tam olarak gidermez.
Olay, siber suçluların binlerce kuruluştan veri çalmak için Progress Software’in dosya aktarım yazılımındaki sıfır günü istismar ettiği MOVEit hack kampanyasıyla paralellik gösteriyor.
CISA’nın fidye yazılımından yararlanıldığını doğrulaması, bu güvenlik açığının kritik niteliğinin altını çiziyor. Cleo ürünlerini kullanan kuruluşlara, sistemlerini potansiyel fidye yazılımı saldırılarından korumak için en son yamaları uygulamaları, güvenlik ihlali işaretlerini izlemeleri ve önerilen azaltma stratejilerini uygulamaları şiddetle tavsiye edilir.
Siber güvenlik firmaları, durum gelişmeye devam ettikçe bu güvenlik açığıyla ilgili birçok olayı aktif olarak izliyor ve araştırıyor. Güvenlik topluluğu, bu karmaşık saldırılara karşı korunmak için hızlı yama uygulama ve proaktif tehdit tespitinin önemini vurgulayarak ihtiyatlı olmaya devam ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin