Yakın zamanda tedarik zinciri satıcısını ele geçiren fidye yazılımı grubu “Termite” Mavi Yol kurban olarak – Cleo’nun LexiCom, VLTransfer ve Harmony dosya aktarım yazılımında önceden düzeltilen bir güvenlik açığını hedef alan yaygın istismar faaliyetinin arkasında olabilir.
Cleo şu anda kusur için yeni bir yama geliştiriyor ancak şu anda soruna yönelik hiçbir şey mevcut değil, bu da güvenlik açığının aktif saldırı altında sıfır gün olduğu anlamına geliyor.
Yaygın Saldırılar
Araştırmacılara göre saldırılar 3 Aralık’ta başlamış gibi görünüyor ve tüketici ürünleri, kamyon taşımacılığı ve nakliye ile gıda endüstrisi de dahil olmak üzere birçok sektörde en az 10 kişinin kurban almasına neden oldu. Avcı Laboratuvarları etkinliği kim takip ediyor? Güvenlik sağlayıcısı, savunmasız, internete açık Cleo sistemleri için yapılan bir araştırmanın gerçek kurban sayısının daha yüksek olabileceğini öne sürdüğünü söyledi.
Hızlı7 ayrıca birden fazla müşteriden Cleo güvenlik açığını içeren güvenlik ihlali ve istismar sonrası faaliyetlere ilişkin raporlar aldığını söyledi. “Dosya aktarım yazılımı bir olmaya devam ediyor düşmanlar için hedefRapid7, 10 Aralık’taki bir blog yazısında şunları yazdı: Şirket, etkilenen kuruluşların tehditle ilgili riski azaltmak için “acil eylem” yapmasını önerdi.
Lojistik ve taşımacılık, üretim ve toptan dağıtım gibi birçok sektörden 4.200’den fazla müşteri, çeşitli kullanım durumları için Cleo yazılımını kullanıyor. Tanınabilir bazı isimler arasında Brother, New Balance, Duraflame, TaylorMade, Barilla America ve Mohawk Global bulunmaktadır.
Huntress, Termite’ın hedeflediği güvenlik açığını şu şekilde belirledi: CVE-2024-506235.8.0.21’den önceki Cleo Harmony, VLTrader ve LexiCom sürümlerinde bulunan, kimliği doğrulanmamış bir uzaktan kod yürütme (RCE) kusuru. Cleo açıklandı Bu güvenlik açığını Ekim ayında bildirdik ve müşterilerin etkilenen ürünleri hemen 5.8.0.21 sabit sürümüne yükseltmeleri konusunda uyardık.
Ancak Huntress, yamanın yetersiz göründüğünü, çünkü yamalı 5.8.0.21 de dahil olmak üzere Cleo yazılımının daha önce etkilenen tüm sürümlerinin aynı CVE’ye karşı savunmasız kaldığını söyledi. Huntress araştırmacısı John Hammond, “Bu güvenlik açığı vahşi doğada aktif olarak kullanılıyor ve 5.8.0.21 çalıştıran tamamen yamalı sistemler hâlâ kullanılabilir durumda” diye yazdı. “Yeni bir yama yayınlanana kadar internete açık tüm Cleo sistemlerini bir güvenlik duvarının arkasına taşımanızı önemle tavsiye ederiz.”
Bir Yama Üzerinde Çalışmak
Cleo sorunu kabul etti ve hata için yeni bir CVE veya tanımlayıcı yayınlamayı planladığını söyledi. E-postayla gönderilen bir açıklamada, bir şirket sözcüsü kusuru kritik bir sorun olarak nitelendirdi. Açıklamada, Cleo’nun müşterilere tehdit hakkında bilgi verdiği ve onlara yama mevcut olana kadar maruziyetin nasıl azaltılacağı konusunda tavsiyelerde bulunduğu belirtildi. Açıklamada “Soruşturmamız devam ediyor” denildi. “Müşterilerin kontrol etmesi teşvik ediliyor Cleo’nun güvenlik bülteni web sayfası güncellemeler için düzenli olarak.”
Hammond, Huntress’in tehdit aktörünün istismar sonrası faaliyetlerine ilişkin analizinin, saldırganın tehlikeye atılmış uç noktalarda kalıcılık oluşturmak için Web kabuğu benzeri işlevsellik kullandığını gösterdiğini söyledi. Huntress ayrıca tehdit aktörünün nltest.exe ve diğer etki alanı keşif araçlarıyla potansiyel Active Directory varlıklarını sıraladığını da gözlemledi.
Huntress’in düşman taktikleri direktörü Jamie Levy, Dark Reading’e yaptığı yorumda, mevcut kanıtların muhtemel failin Termit olduğunu gösterdiğini söylüyor. Devam eden saldırıların kurbanları gibi Blue Yonder’ın da Cleo’nun yazılımının internete açık bir örneğinin bulunduğunu söylüyor. Levy, Termite’ın Blue Yonder’ı kurbanlarından biri olarak iddia ettiğini ve şirkete ait dosyaları halka açık olarak listeleyerek bunu doğruladığını belirtti.
Yeni Cl0p mi?
Levy, “Termit’in yeni Cl0p olabileceğine dair bazı söylentiler var” diyor ve bu iddiaları doğrulayan veriler ortaya çıktı. Ayrıca Cl0p’nin faaliyetleri azalırken Termit’in faaliyetleri arttı. Her ikisi de benzer yöntemlerle çalışıyor. Levy, “Aslında ilişkilendirme oyununda değiliz ancak şu anda bu fidye yazılımı çetelerinde bir değişim görmemiz hiç de şaşırtıcı olmaz” diyor.
Huntress’in güvenlik operasyonlarından sorumlu kıdemli yöneticisi Max Rogers, yeni Cleo sıfır gününü, saldırganların yararlanma koduyla Cleo sistemlerine kolay erişim sağlayan bir şey olarak tanımladı. “En etkili acil eylem, etkilenen sistemlerin İnternet’ten erişilebilir olmamasını sağlamaktır; bu da istismar riskini önemli ölçüde azaltır.”
Rogers ayrıca kuruluşların güncellenmiş bir yamayı beklerken saldırı yüzeyini sınırlamak için Cleo yazılımındaki otomatik çalıştırma özelliğini devre dışı bırakmasını öneriyor. “Ancak şu anda sistemleri korumanın tek garantili yolu, yeni bir yama çıkana kadar onları İnternet üzerinden erişilemez hale getirmektir.”
