Cleo dosya aktarım yazılımındaki kritik bir güvenlik açığına, şirketin bir yama yayınlamasından iki gün sonra bir CVE atandı.
Olarak listelenen güvenlik açığı CVE-2024-55956kimliği doğrulanmamış bir kullanıcının bir ana bilgisayar sistemine rastgele bash veya PowerShell komutlarını içe aktarmasına ve yürütmesine olanak tanır. Güvenlik açığı, 5.8.0.24 sürümünden önceki Cleo Harmony, VLTrader ve Lexicom’u etkiliyor.
Güvenlik açığı, Huntress araştırmacılarının sınırsız dosya yükleme ve indirme güvenlik açığı için şu şekilde listelenen bir yama belirlemesinin ardından keşfedildi: CVE-2024-50623saldırılara karşı tam koruma sunmuyordu. İlk olarak Ekim ayında açıklanan bu güvenlik açığı, 5.8.0.21 sürümlerini etkiliyor.
Güvenlik araştırmacıları, güvenlik açıklarının en azından 3 Aralık’tan bu yana aktif olarak istismar edildiğini ve tüketici ürünleri, gıda endüstrisi, perakende, kamyon taşımacılığı ve diğer sektörlerdeki bir dizi şirketin hedef alındığını söylüyor.
Güvenlik topluluğu var şirketi eleştirdi CVE’nin belirlenmesindeki gecikme ve hangi güvenlik açığının en fazla risk altında olduğu konusunda netlik eksikliği nedeniyle.
“CVE tanımlayıcıları, kuruluşların ve daha geniş topluluğun riskleri daha etkili bir şekilde izlemesine ve önceliklendirmesine olanak tanır; aynı şekilde, kişilerin güvenlik sorunlarının temel nedenini ve bunların bir kuruluşun belirli risk modeli içindeki potansiyel etkilerini anlamalarına olanak tanıyan güvenlik açığı ayrıntıları da sağlar” dedi. Caitlin Condon, Rapid7’nin güvenlik açığı istihbaratı direktörü.
Condon, bu ayın başlarında açıklanan sıfır gün güvenlik açığıyla karşılaştırıldığında Ekim ayındaki CVE’nin rolü konusunda kamuoyunda bazı kafa karışıklıkları olduğunu söyledi.
VulnCheck güvenlik araştırmacısı Patrick Garrity, e-posta yoluyla şunları söyledi: “CVE tanımlayıcıları, çoğu kuruluşun her bir benzersiz güvenlik açığına ve etkilenen yazılıma ilişkin görünürlük kazanmasının yoludur.”
Rapid7 araştırmacıları, yakın zamanda açıklanan güvenlik açığı CVE-2024-55956’nın yamanın atlanması değil, farklı bir temel nedeni ve kullanım stratejisi olan yepyeni bir güvenlik açığı olduğunu söyledi. Pazartesi blog yazısı.
“Başka bir deyişle, CVE-2024-50623 ile Cleo ürününün benzer bir alanında meydana gelmesine ve aynı uç noktadan yararlanmasına rağmen, saldırı iş akışları üzerinde farklı etkileri olan, basit bir yama atlamasından ziyade, net yeni bir sıfır gün hatasıdır.” Condon, Siber Güvenlik Dalışına söyledi.
Rapid7’nin baş güvenlik araştırmacısı Stephen Fewer’a göre, Cleo tarafından yayınlanan güvenlik ihlali göstergelerine dayanarak, CVE-2024-50623’ten sunucu tarafı şablon enjeksiyonu aracılığıyla uzaktan kod yürütülmesini sağlamak için yararlanıldı.
Fewer, “Bu stratejinin kimlik bilgileri gerektirdiğini düşünüyoruz, bu nedenle saldırgan, hem dosya okuma hem de yazma güvenlik açığı olduğundan kimlik bilgileri almak için CVE-2024-50623’ten yararlanmış olabilir” dedi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı eklendi CVE-2024-50623 Cuma günü bilinen istismar edilen güvenlik açıkları kataloğunu inceledi ve fidye yazılımı saldırılarında kullanıldığını belirtti.
CISA, tehdit etkinliğini izliyor ve Cleo müşterilerini aktif olarak sistemlerini güncelleBir yetkiliye göre. Ajans ayrıca müşterilerin kullanım ömrü ve destek sonu yazılım ve donanımlarını aktif olarak takip etmelerini ve gerekirse bunları değiştirmelerini teşvik etti.
Pazar günü Shadowserver bildirildi 930 savunmasız örnek CVE-2024-50623’ün ABD’de yaklaşık 720 örneği açığa çıktı
Clop, finansal motivasyona sahip bir tehdit grubu. MOVEit saldırı çılgınlığıbir veri sızıntısı sitesi aracılığıyla, tüm şirketlerin verilerine olan bağlantıları sileceğini ve tüm sunuculardaki verileri kalıcı olarak sileceğini belirten şifreli bir açıklama yayınladı.
Huntress araştırmacıları, iddianın bir Clop veri sızıntısı sitesi aracılığıyla yayınlandığını doğruladı.