Cleo, internete yönelik Cleo Harmony, VLTrader ve LexiCom örneklerini ihlal etmek için henüz sıfır gün süresindeyken istismar edilmeye başlanan kritik güvenlik açığını gidermek için bir güvenlik yaması yayınladı.
Üç ürünün Çarşamba günü piyasaya sürülen 5.8.0.24 sürümü, saldırganların sunucularıyla ters kabuk bağlantısı kurmak ve keşif gerçekleştirmek için hareket ettikleri savunmasız kurulumlara girmelerine izin veren açığı kapatıyor.
Huntress araştırmacısı John Hammond, yamanın gözlemledikleri saldırılara dayanarak (yeniden) oluşturdukları kavram kanıtı istismarını engellemede etkili olduğunu doğruladı.
Karışıklığı gidermek
Huntress araştırmacıları başlangıçta saldırganların CVE-2024-50623’ten yararlandığına ve saldırının, Cleo’nun Ekim 2024’te Harmony, VLTrader ve LexiCom’un v5.8.0.21 sürümüne dahil edilen kusur için bir yamayı beceriksizce yapmasıyla mümkün olduğuna inanıyordu.
Hammond’un Salı günü Help Net Security’ye söylediği gibi, Cleo ile PoC istismarları hakkında görüştükten sonra bile, saldırganların CVE-2024-50623’ü (sınırsız dosya yükleme ve indirme güvenlik açığı) mı yoksa CVE’de bekleyen diğer güvenlik açığını mı kullandığı konusunda hala net değiller. Cleo nihayet çarşamba günü durumu düzeltti.
“Cleo’nun yeni bir yama oluşturmak ve yeni bir CVE belirlemek için aktif olarak çalıştığına dayanarak, Aralık ayındaki istismarın Ekim CVE’sinden ayrı bir sorun olduğunu varsaymak doğru olur, ancak gerçekte Cleo kesin olarak bilecek tek kaynaktır” dedi bize. .
Saldırı akışı ve kötü amaçlı yazılım
Bu arada, çeşitli güvenlik şirketleri tespit ettikleri saldırılar hakkında uyarılarda bulundu ve saldırganların bıraktığı kötü amaçlı verilerle ilgili bilgiler paylaştı.
Sophos X-Ops, çoğunlukla Kuzey Amerika’da faaliyet gösteren perakende kuruluşlarına ait olan 50’den fazla benzersiz ana bilgisayarın saldırganlar tarafından hedef alındığını gördüklerini söylüyor.
Huntress araştırmacıları, saldırganların kullandığı ve Malichus adını verdikleri çok aşamalı kötü amaçlı yazılım implantasyonunun bir analizini yayınladılar. Bir sonraki aşamadaki yükleri indirmek için ele geçirilen sunuculardan saldırganın komuta ve kontrol (C2) sunucusuna bağlantı oluşturur.
“Son aşama, önemli miktarda işlevsellik içeren, modüler bir Java tabanlı kullanım sonrası çerçevedir. Çerçeve hem Linux’u hem de Windows’u destekliyor ancak Huntress kullanımı yalnızca Windows’ta gözlemledi” diye paylaştılar.
Kullanım sonrası çerçeve:
- İlk aşama yükünü siler (indirici)
- Durum güncellemelerini C2 sunucusuna gönderir
- Operatörlerin dosya veya dizinleri okumasına ve toplamasına olanak tanır
- Operatörlerin Cleo yapılandırma dosyalarını almasına (kurulum hakkında bilgi için) ve yürütme komutları vermesine olanak tanır
- Operatörlerin dosya sistemi üzerinde temel okuma ve yazma işlemlerini gerçekleştirmesine olanak tanır
Rapid7 araştırmacıları saldırı akışını görsel olarak şöyle açıkladılar:
Saldırı akışı (Kaynak: Rapid7)
İlk istismarın ardından saldırganı da gözlemlediler:
- Etkilenen sistemden kullanıcı, grup ve sistem bilgilerini toplamayı ve etki alanı güven ilişkilerini görüntülemeyi amaçlayan komutların yürütülmesi
- Geçerli bir Kerberos bileti oluşturmak ve böylece etkilenen ortamdaki ek ağ kaynaklarına erişim sağlamak için karma aşma saldırısı gerçekleştirmek.
Bu Cleo çözümlerini kullanan kuruluşlar ne yapmalı?
Bir şirket sözcüsü Help Net Security’ye “Cleo, müşterilerin mevcut yamayı hemen uygulamalarını şiddetle tavsiye ediyor” dedi.
Otomatik Çalıştır özelliğini devre dışı bırakmak aynı zamanda saldırganın istismarını da sekteye uğratabilir. Cleo sistemlerine erişimi kısıtlamak (örneğin, bunları bir güvenlik duvarının arkasına yerleştirerek veya sınırlı bir IP izin verilenler listesi oluşturarak) özellikle güncellemenin şu anda mümkün olmadığı durumlarda iyi bir fikirdir.
Ancak örneklerinize saldırganlar tarafından erişilip erişilmediğini ve güvenliğinin ihlal edilip edilmediğini araştırmak da çok önemlidir. Cleo, kötü amaçlı dosyaların yerini tespit etmek ve etkilenen ana bilgisayarları tespit etmek ve karantinaya almak için (kayıt duvarının arkasındaki bir belgede) uzlaşma göstergeleri, tavsiyeler ve komut dosyaları sağladı ve Huntress ve Rapid7 de bazılarını paylaştı.
Güvenliğin ihlal edildiğine dair kanıt varsa, saldırganın ağınızdaki diğer sistemlere atlayıp atlamadığını tespit etmek için araştırmanızı genişletmelisiniz.
Siber güvenlik uzmanı Kevin Beaumont’a göre, “Termit fidye yazılımı grubu operatörleri (ve belki diğer gruplar) Cleo LexiCom, VLTransfer ve Harmony için sıfır gün istismarına sahip.”
Bu saldırıların arkasında hangi grup veya grupların olduğunu hâlâ bilmiyoruz, ancak Termite güçlü bir rakip: grup Blue Yonder’a yapılan saldırıyı üstlendi ve bildirildiğine göre internete bakan bir Cleo örneğine sahiplerdi.