Huntress araştırmacıları Pazartesi günü yaptığı açıklamada, saldırganların kuruluşların sistemlerine erişim sağlamak için Cleo’nun (LexiCo, VLTransfer ve Harmony) dosya aktarım yazılımındaki bir güvenlik açığından (CVE-2024-50623) yararlandığı konusunda uyardı.
“8 Aralık’ta saat 07:00 UTC civarında gözlemlenen istismarda dikkate değer bir artışla Cleo sunucularının tehlikeye girdiği en az 10 işletmeyi tespit ettik. Ancak bazı ilk analizlerden sonra, 3 Aralık gibi erken bir tarihte istismara dair kanıtlar bulduk” diye paylaştılar ve dışarıda daha fazla potansiyel savunmasız Cleo sunucusunun bulunduğunu kaydettiler.
Neler oluyor?
Saldırganlar hangi güvenlik açığından yararlanıyor? Huntress araştırmacıları bunun CVE-2024-50623, sınırsız dosya yükleme ve indirme güvenlik açığı olduğunu söylüyor; Cleo bu düzeltmeyi Ekim 2024’ün sonlarında Harmony, VLTrader ve LexiCom’un v5.8.0.21 sürümünde yayınladı.
Huntress araştırmacıları, Cleo tarafından sağlanan yamanın “yazılım kusurunu hafifletmediğini” buldu.
Yalnızca Cleo’nun Çözüm Merkezi’nde oturum açan müşteriler tarafından görüntülenebilen bir belgeye göre, “bu güvenlik açığı, belirli Cleo Harmony, VLTrader ve LexiCom örneklerine sunucu içeren kötü amaçlı bir Freemarker şablonu biçiminde kötü amaçlı arka kapı kodu yüklemek için kullanıldı” -tarafı JavaScript”.
Belgede ayrıca saldırılarla ilişkili güvenlik ihlali göstergeleri (iki dosya karması ve bir IPv4 adresi) de sunuluyor.
Ancak şirket Pazartesi günü, v5.8.0.21 de dahil olmak üzere yukarıda adı geçen yazılımın tüm sürümlerini etkileyen, şu anda CVE numarası olmayan bir otomatik çalıştırma güvenlik açığına ilişkin ayrı bir öneri yayınladı.
Şirket bağlantılı bir belgede (yukarıda belirtilen kayıt duvarının arkasında yer alan) bu güvenlik açığının “kimliği doğrulanmamış bir kullanıcının Otomatik Çalıştır dizininin varsayılan ayarlarından yararlanarak ana bilgisayar sistemine rastgele bash veya PowerShell komutlarını içe aktarmasına ve yürütmesine izin verebileceğini” açıkladı.
“Bu güvenlik açığı, kötü amaçlı bir ana bilgisayar içeren rastgele adlandırılmış bir dosyayı /[cleo product]/temp dizini ve bir içe aktarma komutu /otomatik çalıştırma dizin. Bu kötü niyetli ana bilgisayarlar, bir veya daha fazla şüpheli IP adresinden Harmony, VLTrader veya LexiCom sunucusuna ters kabuk bağlantısı kurmaya çalışan komutlara sahiptir.”
Cleo tarafından paylaşılan bu saldırılarla ilişkili IP adresleri, Huntress tarafından paylaşılanlara (kısmen) karşılık gelir.
Huntress araştırmacıları, daha fazla ayrıntı ortaya çıktıkça blogu güncelleme sözü verdiler, ancak şu ana kadar saldırganların gizliliği artırmak için bazı dosyaları indirip kullandıktan sonra aktif olarak sildiğini keşfettiler. Ayrıca saldırganların, yerleşik bir Windows Server komut satırı aracı olan Nltest ile potansiyel Active Directory varlıklarını sıraladığını da gözlemlediler.
Herhangi bir veri/dosya sızma faaliyetinin gözlemlendiğinden bahsetmiyorlar, ancak siber şantaj gruplarının kurumsal dosya aktarım araçlarını hedefleme eğilimleri iyi biliniyor.
Azaltma ve tespit tavsiyesi
Huntress araştırmacıları, kuruluşlara, yeni bir yama yayınlanana kadar internete açık tüm Cleo sistemlerini bir güvenlik duvarının arkasına taşımalarını tavsiye etti. Ayrıca, kullanılmazsa Otomatik Çalıştırma özelliğinin devre dışı bırakılmasını da tavsiye ettiler.
Cleo, müşterilerin kullanıcı arayüzü aracılığıyla yapamadıkları takdirde Otomatik Çalıştırmayı otomatik olarak devre dışı bırakmak için kullanabilecekleri komut dosyaları sağladı.
Şirket, günlük operasyonlarda Autorun’u kullananlar için şunları tavsiye ediyor:
- Varsayılan Otomatik Çalıştır dizinini özel bir adla değiştirme
- Ana bilgisayarlardaki kötü amaçlı dosyaları aramak ve bunları kaldırmak (manuel olarak veya kötü amaçlı ana bilgisayarları bulup karantinaya alan sağlanan komut dosyaları aracılığıyla)
- Saldırı IP adreslerini ağ/güvenlik duvarı düzeyinde engelleme
Şirket ayrıca müşterilerin sunuculara erişimi kısıtlamak için yapabileceği konfigürasyon değişikliklerini de belirledi ve konfigürasyondaki veya diğer kritik dosyalardaki yetkisiz değişiklikleri izlemek için EDR çözümlerinin kullanılması tavsiyesinde bulundu.
Huntress’e göre CVE-2024-50623 için yeni bir yama üzerinde çalışılıyor ve Cleo’nun otomatik çalıştırma güvenlik açığına yönelik bir yama üzerinde de çalıştığını varsaymak yanlış olmaz.
Saldırganların her iki güvenlik açığından da yararlandığı görülüyor ancak onay ve daha fazla bilgi için Cleo’ya ulaştık ve onlardan yanıt aldığımızda bu makaleyi güncelleyeceğiz.