Cleo tarafından yönetilen dosya aktarım yazılımı kullanıcılarından, tamamen yamalı sistemleri etkileyen bir güvenlik açığından toplu olarak yararlanıldığı yönündeki raporların ardından, örneklerinin internete maruz kalmamasını sağlamaları isteniyor.
Siber güvenlik şirketi Huntress söz konusu 3 Aralık 2024’te tehdit aktörlerinin bu sorunu topluca istismar ettiğine dair kanıtlar keşfetti. Cleo’nun LexiCom, VLTransfer ve Harmony yazılımlarını etkileyen güvenlik açığı, kimliği doğrulanmamış bir uzaktan kod yürütme durumuyla ilgilidir.
Güvenlik açığı paletli CVE-2024-50623 olarak adlandırılan Cleo, kusurun, keyfi kodun yürütülmesine yol açabilecek sınırsız bir dosya yüklemesinin sonucu olduğunu belirtiyor.
Dünya çapında 4.200’den fazla müşteriye sahip olan Illinois merkezli şirket, o zamandan bu yana Veriliş başka bir danışma belgesi (CVE beklemede), ayrı bir “kimliği doğrulanmamış kötü amaçlı ana bilgisayarların uzaktan kod yürütülmesine yol açabilecek güvenlik açığı” uyarısı.
Bu gelişme, Huntress’in CVE-2024-50623 için yayımlanan yamaların altta yatan yazılım kusurunu tamamen ortadan kaldırmadığını söylemesinin ardından geldi. Sorun aşağıdaki ürünleri etkiliyor ve bu hafta sonuna doğru yamalanması bekleniyor:
- Cleo Harmony (5.8.0.23 sürümüne kadar)
- Cleo VLTrader (5.8.0.23 sürümüne kadar)
- Cleo LexiCom (5.8.0.23 sürümüne kadar)
Siber güvenlik şirketi tarafından tespit edilen saldırılarda, güvenlik açığının, bir sonraki aşama Java Arşivi (JAR) dosyasını bir bilgisayardan almaktan sorumlu olan yerleşik bir PowerShell komutunu çalıştıracak şekilde yapılandırılmış bir XML dosyası da dahil olmak üzere birden fazla dosyayı düşürecek şekilde kullanıldığı tespit edildi. uzak sunucu.
Özellikle izinsiz girişler, kurulum klasörü içindeki “autorun” alt dizinine yerleştirilen bilgi dosyalarından yararlanır ve duyarlı yazılım tarafından anında okunur, yorumlanır ve değerlendirilir.
En az 10 işletmenin Cleo sunucuları ele geçirildi ve 8 Aralık 2024’te sabah 7 civarında (UTC) istismarda bir artış gözlendi. Şu ana kadar toplanan kanıtlar, en erken keşif tarihinin 3 Aralık 2024 olduğunu gösteriyor.
Mağdur örgütleri tüketici ürünleri şirketlerini, lojistik ve nakliye kuruluşlarını ve gıda tedarikçilerini kapsamaktadır. Kullanıcıların, tehdide karşı korunmalarını sağlamak için yazılımlarının güncel olduğundan emin olmaları önerilir.
Cl0p (diğer adıyla Lace Tempest) gibi fidye yazılımı grupları geçmişte gözlerini çeşitli yönetilen dosya aktarım araçlarına dikmişti ve görünen o ki son saldırı etkinliği de farklı değil.
Güvenlik araştırmacısına göre Kevin Beaumont (aka GossiTheDog), “Termit fidye yazılımı grup operatörlerinin (ve belki diğer grupların) Cleo LexiCom, VLTransfer ve Harmony için sıfır gün istismarına sahip.”
Siber güvenlik şirketi Rapid7 söz konusu aynı zamanda Cleo sorununun müşteri ortamlarına karşı başarıyla kullanıldığını da doğruladı. Termit’in sahip olduğunu belirtmekte fayda var sorumluluk üstlendi Tedarik zinciri firması Blue Yonder’a yapılan son siber saldırı için.
Broadcom’un Symantec Tehdit Avcısı Ekibi söylenmiş Hacker News’te “Termite, Babuk fidye yazılımının değiştirilmiş bir versiyonunu kullanıyor gibi görünüyor; bu yazılım, bir makinede çalıştırıldığında hedeflenen dosyaları şifreliyor ve bir .termite uzantısı ekliyor.”
“Blue Yonder’ın Shodan aracılığıyla Cleo’nun yazılımının internete açık bir örneğine sahip olduğunu gördüğümüzden ve Termite, Blue Yonder’ı kurbanları arasında iddia ettiğinden ve bu da listelemeleri ve açık dosya dizinleriyle doğrulandığından, Gossi’nin Huntress’in Düşman Taktikleri Direktörü Jamie Levy, açıklamasında doğru” dedi.
“Ne olursa olsun, Termite’in yeni Cl0p olabileceğine dair bazı dedikodular var, Termite’in faaliyetleri artarken Cl0p’nin faaliyetleri azalırken bunu destekleyen bazı veriler var. Onlar da benzer şekillerde faaliyet gösteriyor. Biz’ Aslında ilişkilendirme oyununda değiliz ancak şu anda bu fidye yazılımı çetelerinde bir değişim görmemiz hiç de şaşırtıcı olmaz.”
(Bu gelişmekte olan bir hikayedir. Daha fazla güncelleme için lütfen tekrar kontrol edin.)
