Cleo tarafından yönetilen dosya aktarım yazılımı kullanıcılarından, tamamen yamalı sistemleri etkileyen bir güvenlik açığından toplu olarak yararlanıldığı yönündeki raporların ardından, örneklerinin internete maruz kalmamasını sağlamaları isteniyor.
Siber güvenlik şirketi Huntress, 3 Aralık 2024’te tehdit aktörlerinin bu sorunu topluca istismar ettiğine dair kanıtlar bulduğunu söyledi. Cleo’nun LexiCom, VLTransfer ve Harmony yazılımlarını etkileyen güvenlik açığı, kimliği doğrulanmamış bir uzaktan kod yürütme durumuyla ilgilidir.
Güvenlik açığı CVE-2024-50623 olarak izleniyor ve Cleo, kusurun, keyfi kodun yürütülmesine yol açabilecek sınırsız bir dosya yüklemesinin sonucu olduğunu belirtiyor.
Dünya çapında 4.200’den fazla müşteriye sahip olan Illinois merkezli şirket, o zamandan bu yana, “uzaktan kod yürütülmesine yol açabilecek, kimliği doğrulanmamış kötü amaçlı ana bilgisayarların güvenlik açığı” konusunda uyarıda bulunan başka bir öneri yayınladı (CVE beklemede).
Bu gelişme, Huntress’in CVE-2024-50623 için yayımlanan yamaların temeldeki yazılım kusurunu tamamen ortadan kaldırmadığını söylemesinin ardından geldi. Sorun aşağıdaki ürünleri etkiliyor ve bu hafta sonuna doğru yamalanması bekleniyor:
- Cleo Harmony (5.8.0.23 sürümüne kadar)
- Cleo VLTrader (5.8.0.23 sürümüne kadar)
- Cleo LexiCom (5.8.0.23 sürümüne kadar)
Siber güvenlik şirketi tarafından tespit edilen saldırılarda, güvenlik açığının, bir sonraki aşama Java Arşivi (JAR) dosyasını bir bilgisayardan almaktan sorumlu olan yerleşik bir PowerShell komutunu çalıştıracak şekilde yapılandırılmış bir XML dosyası da dahil olmak üzere birden fazla dosyayı düşürecek şekilde kullanıldığı tespit edildi. uzak sunucu.
Özellikle izinsiz girişler, kurulum klasörü içindeki “autorun” alt dizinine yerleştirilen bilgi dosyalarından yararlanır ve duyarlı yazılım tarafından anında okunur, yorumlanır ve değerlendirilir.
En az 10 işletmenin Cleo sunucuları ele geçirildi ve 8 Aralık 2024’te sabah 7 civarında (UTC) istismarda bir artış gözlendi. Şu ana kadar toplanan kanıtlar, en erken keşif tarihinin 3 Aralık 2024 olduğunu gösteriyor.
Mağdur örgütleri tüketici ürünleri şirketlerini, lojistik ve nakliye kuruluşlarını ve gıda tedarikçilerini kapsamaktadır. Kullanıcıların, tehdide karşı korunmalarını sağlamak için yazılımlarının güncel olduğundan emin olmaları önerilir.
Cl0p (diğer adıyla Lace Tempest) gibi fidye yazılımı grupları geçmişte gözlerini çeşitli yönetilen dosya aktarım araçlarına dikmişti ve görünen o ki son saldırı etkinliği de farklı değil.
Güvenlik araştırmacısı Kevin Beaumont’a (aka GossiTheDog) göre, “Termite fidye yazılımı grup operatörleri (ve belki diğer gruplar) Cleo LexiCom, VLTransfer ve Harmony için sıfır gün istismarına sahip.”
Siber güvenlik şirketi Rapid7, Cleo sorununun müşteri ortamlarına karşı başarıyla kullanıldığını da doğruladığını söyledi. Tedarik zinciri şirketi Blue Yonder’a yapılan son siber saldırının sorumluluğunu Termite’ın üstlendiğini belirtmekte fayda var.
Broadcom’un Symantec Tehdit Avcısı Ekibi Hacker News’e şunları söyledi: “Termite, bir makinede çalıştırıldığında hedeflenen dosyaları şifreleyen ve bir .termite uzantısı ekleyen Babuk fidye yazılımının değiştirilmiş bir sürümünü kullanıyor gibi görünüyor.”
“Blue Yonder’ın Shodan aracılığıyla Cleo’nun yazılımının internete açık bir örneğine sahip olduğunu gördüğümüzden ve Termite, Blue Yonder’ı kurbanları arasında iddia ettiğinden ve bu da listelemeleri ve açık dosya dizinleriyle doğrulandığından, Gossi’nin Huntress’in Düşman Taktikleri Direktörü Jamie Levy, açıklamasında doğru” dedi.
“Ne olursa olsun, Termite’in yeni Cl0p olabileceğine dair bazı dedikodular var, Termite’in faaliyetleri artarken Cl0p’nin faaliyetleri azalırken bunu destekleyen bazı veriler var. Onlar da benzer şekillerde faaliyet gösteriyor. Biz’ Aslında ilişkilendirme oyununda değiliz ancak şu anda bu fidye yazılımı çetelerinde bir değişim görmemiz hiç de şaşırtıcı olmaz.”
(Bu gelişmekte olan bir hikayedir. Daha fazla güncelleme için lütfen tekrar kontrol edin.)