Güvenlik araştırmacıları, bilgisayar korsanlarının toplu saldırılar başlatmak için popüler bir dosya aktarım teknolojisindeki başka bir yüksek riskli güvenlik açığından aktif olarak yararlandıkları konusunda uyarıyor.
Siber güvenlik şirketi Huntress’teki araştırmacılara göre, CVE-2024-50623 olarak takip edilen güvenlik açığı, Illinois merkezli kurumsal yazılım şirketi Cleo tarafından geliştirilen yazılımı etkiliyor.
Kusur ilk olarak Cleo tarafından açıklandı. güvenlik danışmanlığı 30 Ekim’de, istismarın uzaktan kod yürütülmesine yol açabileceği konusunda uyardı. Kuruluşların dosya aktarımlarını yönetmek için yaygın olarak kullandığı Cleo’nun LexiCom, VLTransfer ve Harmony araçlarını etkiliyor.
Cleo, Ekim ayında güvenlik açığına yönelik bir yama yayınladı ancak Pazartesi günü bir blog Huntress, yamanın yazılım kusurunu hafifletmediği konusunda uyardı.
Huntress güvenlik araştırmacısı John Hammond, şirketin 3 Aralık’tan bu yana tehdit aktörlerinin “bu yazılımı topluca istismar ettiğini” gözlemlediğini söyledi. 1.700’den fazla Cleo LexiCom, VLTransfer ve Harmony sunucusunu koruyan Huntress’in, sunucuları bu yazılıma sahip en az 10 işletme keşfettiğini ekledi. tehlikeye atılmıştı.
Hammond, “Şu ana kadar kurban kuruluşlar arasında çeşitli tüketici ürünleri şirketleri, lojistik ve nakliye kuruluşları ve gıda tedarikçileri yer aldı” diye yazdı ve diğer birçok müşterinin saldırıya uğrama riskiyle karşı karşıya olduğunu ekledi.
Herkese açık cihazlar ve veritabanları için bir arama motoru olan Shodan, listeler Çoğunluğu ABD’de bulunan yüzlerce savunmasız Cleo sunucusu
Cleo’da var 4.200’den fazla müşteriABD’li biyoteknoloji şirketi Illumina, spor ayakkabı devi New Balance ve Hollandalı lojistik firması Portable dahil.
Huntress, bu saldırıların arkasındaki tehdit aktörünü henüz belirlemedi ve etkilenen Cleo müşterilerinden herhangi bir verinin çalınıp çalınmadığı bilinmiyor. Ancak Hammond, şirketin bilgisayar korsanlarının savunmasız sistemleri tehlikeye attıktan sonra “istismar sonrası faaliyet” gerçekleştirdiğini gözlemlediğini belirtti.
Cleo, TechCrunch’ın sorularına yanıt vermedi ve kusura karşı koruma sağlayan bir yama henüz yayınlamadı. Huntress, Cleo müşterilerinin, yeni bir yama yayınlanana kadar internete açık tüm sistemlerini bir güvenlik duvarının arkasına taşımasını tavsiye ediyor.
Kurumsal dosya aktarım araçları, bilgisayar korsanları ve gasp grupları arasında popüler bir hedeftir. Geçen yıl, Rusya bağlantılı Clop fidye yazılımı çetesi binlerce kurbanın olduğunu iddia etti. Progress Software’in MOVEit Transfer ürünündeki sıfır gün güvenlik açığından yararlanılıyor. Aynı çete daha önce de Fortra’nın 130’dan fazla kuruluşu hedeflemek için kullanılan GoAnywhere yönetimli dosya aktarım yazılımındaki bir güvenlik açığından toplu olarak yararlanılmasından payını almıştı.
