Cleo dosya aktarım yazılımındaki kritik güvenlik açıklarından yararlanma, güvenlik araştırmacılarının bu hafta başında açıklanan ikinci bir kusur için CVE tanımının bulunmaması konusundaki endişelerini artırmaya başlamasıyla Cuma günü de devam etti.
Perşembe günü Cleo kullanıcıları derhal en son sürümlere yükseltmeye çağırdı Huntress araştırmacılarının, bilgisayar korsanlarının, sınırsız dosya yükleme ve indirme güvenlik açığı için Ekim ayında yayınlanan bir yamayı hâlâ aşabilecekleri konusunda şirketi uyarmasının ardından Harmony, VLTrader ve LexiCom yazılımının geliştirilmesi. CVE-2024-50623.
Kimliği doğrulanmamış saldırganların rastgele bash veya PowerShell komutlarını içe aktarmasına ve yürütmesine olanak tanıyan yeni keşfedilen güvenlik açığı, keşfedilmesinden neredeyse bir hafta sonra henüz bir CVE tanımı almadı.
Rapid7’deki araştırmacılar az sayıda başarılı uzlaşma gördüklerini doğruladılar Cleo güvenlik açığı hakkında bilgi edinin ve yeni CVE’nin neden hala beklemede olduğunu sorgulayın.
“Bir CVE tanımlayıcısının ortaya çıkmasının bu kadar uzun sürmesi alışılmadık bir durum, özellikle de çok sayıda olay olduğu için. [CVE Numbering Authorities] Rapid7’nin güvenlik açığı istihbaratı direktörü Caitlin Condon e-posta yoluyla şunları söyledi: “Yardım etmeye hazır olanlar var.” “CVE tanımlayıcıları, müşterilerin riski uygun şekilde izlemesine ve önceliklendirmesine olanak sağlamak açısından önemlidir.”
Güvenlik açığının ayrıntıları, topluluğun güvenlik açıklarının doğasını anlamasına ve “bir kuruluşun belirli risk modeli üzerindeki potansiyel etkisini” değerlendirmesine olanak tanır.dedi Condon.
Huntress’teki araştırmacılar, sömürünün ayrıntılarını paylaşmak için Pazartesi günü Cleo yetkilileriyle bir Zoom görüşmesi gerçekleştirdi ve bu, Ekim yamasının yeterli koruma sağlamadığını gösterdi. Huntress, bilgisayar korsanlarının yamayı nasıl aşabileceğini göstermek için bir kavram kanıtı geliştirdi.
Huntress’e göre yeni keşfedilen kusurla ilgili ilk sömürü faaliyeti işareti 3 Aralık’a kadar uzanıyor. Diğer araştırmacılar haftanın ilerleyen saatlerinde aktif sömürü görüldüğünü bildirdi.
Huntress, CVE atama gecikmelerinin o kadar da olağandışı olmadığını söyledi.
“Açıkçası CVE süreci biraz zaman alabilir…. Huntress ise CNA olarak yetkilendirilmiştir ve destekleyebiliriz” dedi Huntress’in baş güvenlik araştırmacısı John Hammond. “Hafta başında konuştuğumuzda Cleo zaten bir görevlendirme sürecindeydi.”
Avcı araştırmacıları şunu söylüyor: Malichus adını verdiği kötü amaçlı yazılım dağıtılıyor Tehdit aktörleri Cleo sistemlerine erişim sağladığında.
Geçen haftadan bu yana Huntress, Sophos, Rapid7 ve diğer güvenlik sağlayıcıları perakende, kamyon taşımacılığı, nakliye, gıda ve diğer kuruluşlar da dahil olmak üzere çeşitli kuruluşların aktif olarak istismar edildiğini doğruladılar.
VulnCheck güvenlik araştırmacısı Patrick Garrity, bu gibi gecikmelerin genellikle koordinasyon sorunlarından kaynaklandığını söyledi.
Garrity, e-posta yoluyla şunları söyledi: “Cleo, tarihsel olarak bu büyüklükte bir olayla karşılaşmadı (bildiğimiz kadarıyla) ve bir CVE Numaralandırma Otoritesi değil.” CNA yönergelerine bağlılığın sağlanması.”