Siber güvenlik araştırmacıları, Cleo’nun dosya aktarım ürünleri Harmony, VLTrader ve LexiCom’daki kritik bir sıfır gün güvenlik açığının (CVE-2024-50623) tehdit aktörleri tarafından aktif olarak kullanıldığı konusunda uyardı.
Sınırsız dosya yükleme ve indirme güvenlik açığından kaynaklanan kusur, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) olanak tanıyor ve güvenli dosya aktarımları için Cleo yazılımına güvenen kuruluşlar için ciddi bir risk oluşturuyor.
İlk olarak Ekim 2024’te açıklanan Cleo, güvenlik açığını gidermek için 5.8.0.21 yama sürümünü yayınladı. Ancak Huntress’ten araştırmacılar, bu yamanın sorunu tam olarak gidermede başarısız olduğunu keşfetti.
Güvenlik açığından yararlanmaya 3 Aralık 2024 gibi erken bir tarihte başlandı ve 8 Aralık’ta gözlemlenen saldırılarda keskin bir artış görüldü. Saldırganlar, bu kusurdan yararlanarak kötü amaçlı dosyaları Cleo kurulumlarının “otomatik çalıştırma” dizinine yerleştirir ve yerleşik PowerShell aracılığıyla rastgele kod yürütülmesine olanak tanır. komutlar veya diğer komut dosyaları.
Saldırı, tüketici ürünleri, lojistik ve gıda tedariki gibi sektörlerde en az 10 işletmeyi hedef aldı. Özellikle Huntress, gözlem altında olan 1.700’den fazla savunmasız Cleo sunucusunu tespit etti ve bu da daha geniş bir potansiyel risk kapsamına işaret ediyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Güvenlik açığı, 5.8.0.21 sürümü de dahil olmak üzere Cleo Harmony, VLTrader ve LexiCom’un tüm sürümlerini etkiliyor. Bu yamaya güncellenen sistemler bile eksik iyileştirme nedeniyle istismar edilebilir olmaya devam ediyor.
Kevin Beaumont’a göre Termite fidye yazılımı grubu operatörleri, fidye yazılımını dağıtmak için bu güvenlik açığından yararlanıyor.
Gözlemlenen Saldırı Teknikleri
Tehdit aktörleri bu güvenlik açığından şu şekilde yararlanır:
- Kötü amaçlı dosyaların “otomatik çalıştırma” dizinine yüklenmesi.
- PowerShell betikleri gibi gömülü komutları yürütmek için bu dosyalardan yararlanma.
- Arka kapı mekanizmaları aracılığıyla kalıcılığın sağlanması.
- Güvenliği ihlal edilmiş ağlarda keşif faaliyetleri yürütmek.
Tehlike göstergeleri arasında kurulum dizinlerindeki şüpheli XML dosyaları (ör. hosts/main.xml) ve yetkisiz dosya içe aktarmalarını veya PowerShell yürütmesini gösteren günlükler.
Cleo, müşterilerini sınırlamalarını kabul ederek derhal 5.8.0.21 sürümüne yükseltmeye çağırdı. Bu hafta sonuna doğru güvenlik açığını tamamen ortadan kaldıracak yeni bir yamanın yayınlanması bekleniyor. Bu arada kuruluşlara şunları yapmaları tavsiye edilir:
- İnternete açık Cleo sistemlerini bir güvenlik duvarının arkasına taşıyın.
- Cleo yazılımındaki “otomatik çalıştırma” özelliğini şuraya giderek devre dışı bırakın: Yapılandır > Seçenekler > Diğer Bölmesi ve “Otomatik Çalıştırma Dizini” alanının temizlenmesi.
- Kurulum dizinlerini şüpheli dosyalara veya yetkisiz değişikliklere karşı izleyin.
- Bu saldırılarla bağlantılı olduğu bilinen kötü amaçlı IP adreslerini engelleyin.
Bu olay, MOVEit kampanyası gibi geçmişteki yüksek profilli istismarları hatırlatan, yönetilen dosya aktarımı (MFT) araçlarına yönelik artan tehditlerin altını çiziyor. Saldırganlar, hassas veri aktarım süreçlerini işleyen kurumsal yazılımları giderek daha fazla hedef alıyor, kurumsal ağları ihlal etmek ve verileri sızdırmak için güvenlik açıklarından yararlanıyor.
Cleo ürünlerini kullanan kuruluşlar, Cleo’dan kapsamlı bir yama beklerken, azaltım önlemlerini uygulamak ve uzlaşma işaretlerini izlemek için hızlı hareket etmelidir.
Investigate Real-World Malicious Links,Malware & Phishing Attacks With ANY.RUN - Try for Free