Cleo tarafından yönetilen dosya aktarım aracına karşı aktif bir fidye yazılımı kampanyası, yazılımdaki sıfır gün kusuruna yönelik kavram kanıtlama istismarının kamuya açık hale gelmesiyle birlikte artmak üzere. Savunmacılar, Kleopatra arka kapısının geniş çapta konuşlandırılmasına ve saldırı zincirindeki diğer adımlara hazırlıklı olmalıdır.
CVE-2024-50623 olarak izlenen rastgele bir dosya yazma işlemi için yetersiz yamanın sonucu olan kusur, uzaktan kod yürütme (RCE) için kullanılıyor ve Cleo Harmony, Cleo VLTrader ve Cleo LexiCon ürünlerini etkiliyor. şirketin güvenlik danışmanlığı. Bu yazının yazıldığı tarih itibariyle yeni sayının henüz bir CVE veya CVSS ciddiyet puanı bulunmuyor.
Aktif sıfır güne karşı saldırılar 3 Aralık’ta başlamış gibi görünüyor ve sadece birkaç gün sonra siber saldırganlar, kamyon taşımacılığı, nakliye ve gıda endüstrilerindekiler de dahil olmak üzere en az 10 Cleo müşterisini ihlal etti. Cleo’nun şu anda çoğu orta ölçekli kuruluşlar olmak üzere 4.000’den fazla müşterisi var.
Mevcut fidye yazılımı kampanyasının, aynı zamanda benzer siber saldırılarla bağlantılı olduğuna inanılan “Termit” adlı bir gruba atfedildiği belirtiliyor. Mavi Yol bu sonuçta Starbucks gibi ev markalarını etkiledi.
Ancak savunmasız Cleo sistemlerine yönelik fidye yazılımı siber saldırılarının artmak üzere olduğunu öngören Artic Wolf analistlerine göre bu, olacakların sadece bir kısmı.
MOVEit Tarzı Bir Siber Saldırı Tufanı Yakın mı?
2023’teki fidye yazılımlarının başarısından bu yana TAŞIYINBenzer bir dosya aktarım hizmeti olan tehdit aktörleri, hassas kurumsal verilere ve sistemlere geniş erişim Artic Wolf’taki araştırmacılar, bu MFT çözümlerinin sağladığını belirtti.
Bu özellikle kamuoyunun ışığında doğrudur Cleo sıfır gün istismarının kanıtı Araştırmacıların tahminine göre Watchtowr Labs tarafından 11 Aralık’ta yayınlandı. MOVEit gibi Cleo da saldırganlara toplu saldırı yolu sunma potansiyeline sahip.
Ve ne yazık ki etkilenenler açısından, bu sıfır gün yamasını uygulamak Cleo müşterileri için biraz kafa karıştırıcı oldu. saldırganların saldırması için kapıyı genişletiyor.
Orijinal hata, CVE-2024-50623, ilk olarak güncellenmiş Cleo sürümü olan 5.8.0.21’in 30 Ekim sürümünde “düzeltildi”. Ancak Rapid7’den Cleo sıfır günü hakkında yeni bir arka plan uzmanı, müşterilerin “ayrı bir uzlaşma yönteminin varlığını öne sürerek” uzlaşmaları bildirmeye devam ettiğini açıkladı.
Huntress’teki araştırmacılar, ilk olarak 9 Aralık’ta sözde yamalı güvenlik açığından yaygın olarak yararlanılmaya devam edildiğini bildirdi. Cleo, yeni bir güvenlik yaması içeren yeni bir sürümle (sürüm 5.8.0.24) yanıt verdi. Ancak yeni istismar edilebilir sorun henüz yeni bir CVE tanımı almadı ve bu da Rapid7 gibi endüstri gözlemcilerinin sorularını gündeme getirdi.
“Cleo, 10 Aralık itibariyle, daha önce 5.8.0.21’e kadar olan sürümlerin henüz atanmamış bir CVE’ye karşı savunmasız olduğunu belirten yeni bir uyarı yayınladı.” Rapid7 blog yazısı not edildi. “Bu uyarı, etkilenen tüm ürünler için bir yamanın artık mevcut olduğunu belirtmek üzere güncellendi; güncellemenin tam olarak ne zaman gerçekleştiği belli değil. Yeni sayı için hala bir CVE yok.”
Cleo o zamandan beri notuna bir not ekledi danışma sayfası “CVE’nin beklemede olduğu” yetersiz yama sorunu hakkında.
Kleopatra Arka Kapısı: Cleo’nun Güvenliğinin Aşıldığı Nasıl Anlaşılır
Eklenen yama kafa karışıklığıyla birlikte, Cleo uzlaşmasının neye benzediğini anlamak ve gerçekleşmeden önce onu durdurmak siber savunma ekiplerine kalmıştır.
Artic Wolf ekibi, saldırı zincirini, sonunda ekibinin uygun bir şekilde “Kleopatra” olarak adlandırdığı yeni bir Java tabanlı arka kapıyı çalıştıran kötü niyetli bir PowerShell sahneleyicisine kadar takip etti.
Artic Wolf raporu, “Cleopatra arka kapısı, bellek içi dosya depolamayı destekliyor ve Windows ve Linux genelinde platformlar arası destek için tasarlandı. Özellikle Cleo MFT yazılımında depolanan verilere erişmek için tasarlanmış işlevselliği uyguluyor” dedi. “C2 hedefleri olarak birçok IP adresi kullanılmasına rağmen, güvenlik açığı taraması yalnızca iki IP adresinden kaynaklandı.”
Arctic Wolf araştırmacıları, saldırı zincirinde erken yanıt verebilmek için savunucuları PowerShell gibi olağandışı etkinliklere karşı sunucu varlıklarını izlemeye odaklanmaya çağırıyor.
Raporda, “Ek olarak, cihazlar internetten erişilebilen hizmetlerdeki potansiyel zayıflıklar açısından sürekli olarak denetlenmeli ve bunun gibi kitlesel istismar kampanyalarına maruz kalma potansiyelini en aza indirmek için savunmasız hizmetler mümkün olduğunca halka açık İnternet’ten uzak tutulmalıdır.” “Bu, IP erişim kontrol listeleriyle veya potansiyel saldırı yüzeyini azaltmak için uygulamaları bir VPN’in arkasında tutarak gerçekleştirilebilir.”