{"id":1480533,"date":"2024-12-10T16:46:52","date_gmt":"2024-12-10T16:46:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-transferencia-de-archivos-de-cleo-bajo-explotacion-parche-pendiente-se-insta-a-mitigarla\/"},"modified":"2024-12-10T16:46:56","modified_gmt":"2024-12-10T16:46:56","slug":"vulnerabilidad-de-transferencia-de-archivos-de-cleo-bajo-explotacion-parche-pendiente-se-insta-a-mitigarla","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-transferencia-de-archivos-de-cleo-bajo-explotacion-parche-pendiente-se-insta-a-mitigarla\/","title":{"rendered":"Vulnerabilidad de transferencia de archivos de Cleo bajo explotaci\u00f3n: parche pendiente, se insta a mitigarla"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de diciembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">An\u00e1lisis de vulnerabilidad\/amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Vulnerabilidad-de-transferencia-de-archivos-de-Cleo-bajo-explotacion-parche.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se insta a los usuarios del software de transferencia de archivos administrado por Cleo a que se aseguren de que sus instancias no queden expuestas a Internet luego de informes de explotaci\u00f3n masiva de una vulnerabilidad que afecta a sistemas completamente parcheados.<\/p>\n<p>La empresa de ciberseguridad Huntress <a rel=\"noopener nofollow\" href=\"https:\/\/www.huntress.com\/blog\/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild\" target=\"_blank\">dicho<\/a> descubri\u00f3 evidencia de actores de amenazas que explotaban el problema en masa el 3 de diciembre de 2024. La vulnerabilidad, que afecta al software LexiCom, VLTransfer y Harmony de Cleo, se refiere a un caso de ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n<p>El agujero de seguridad es <a rel=\"noopener nofollow\" href=\"https:\/\/support.cleo.com\/hc\/en-us\/articles\/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623\" target=\"_blank\">rastreado<\/a> como CVE-2024-50623, y Cleo se\u00f1al\u00f3 que la falla es el resultado de una carga de archivos sin restricciones que podr\u00eda allanar el camino para la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Desde entonces, la empresa con sede en Illinois, que cuenta con m\u00e1s de 4.200 clientes en todo el mundo, <a rel=\"noopener nofollow\" href=\"https:\/\/support.cleo.com\/hc\/en-us\/articles\/28408134019735-Cleo-Product-Security-Advisory-CVE-Peding\" target=\"_blank\">emitido<\/a> otro aviso (CVE pendiente), que advierte sobre una &#8220;vulnerabilidad de hosts maliciosos no autenticados que podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo&#8221;.<\/p>\n<p>El desarrollo se produce despu\u00e9s de que Huntress dijera que los parches lanzados para CVE-2024-50623 no mitigan por completo la falla de software subyacente. El problema afecta a los siguientes productos y se espera que se solucione a finales de esta semana:<\/p>\n<ul>\n<li>Cleo Harmony (hasta la versi\u00f3n 5.8.0.23)<\/li>\n<li>Cleo VLTrader (hasta la versi\u00f3n 5.8.0.23)<\/li>\n<li>Cleo LexiCom (hasta la versi\u00f3n 5.8.0.23)<\/li>\n<\/ul>\n<p>En los ataques detectados por la empresa de ciberseguridad, se descubri\u00f3 que la vulnerabilidad se explota para eliminar varios archivos, incluido un archivo XML que est\u00e1 configurado para ejecutar un comando PowerShell integrado que es responsable de recuperar un archivo Java Archive (JAR) de siguiente etapa de un servidor remoto.<\/p>\n<p>Espec\u00edficamente, las intrusiones aprovechan los archivos de datos ubicados en el subdirectorio &#8220;autorun&#8221; dentro de la carpeta de instalaci\u00f3n y el software susceptible los lee, interpreta y eval\u00faa inmediatamente.<\/p>\n<p>Al menos 10 empresas vieron comprometidos sus servidores Cleo, y se observ\u00f3 un aumento en la explotaci\u00f3n el 8 de diciembre de 2024, alrededor de las 7 a. m. UTC. La evidencia recopilada hasta ahora sit\u00faa la fecha m\u00e1s temprana de exploraci\u00f3n en el 3 de diciembre de 2024.<\/p>\n<p>Las organizaciones de v\u00edctimas abarcan empresas de productos de consumo, organizaciones de log\u00edstica y env\u00edo y proveedores de alimentos. Se recomienda a los usuarios que se aseguren de que su software est\u00e9 actualizado para garantizar que est\u00e9n protegidos contra la amenaza.<\/p>\n<p>Grupos de ransomware como Cl0p (tambi\u00e9n conocido como Lace Tempest) ya han puesto sus miras en varias herramientas de transferencia de archivos administradas en el pasado, y parece que la \u00faltima actividad de ataque no es diferente.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Seg\u00fan el investigador de seguridad <a rel=\"nofollow noopener\" href=\"https:\/\/cyberplace.social\/@GossiTheDog\/113628339890303857\" target=\"_blank\">Kevin Beaumont<\/a> (tambi\u00e9n conocido como GossiTheDog), &#8220;Los operadores del grupo de ransomware Termite (y tal vez otros grupos) tienen un exploit de d\u00eda cero para Cleo LexiCom, VLTransfer y Harmony&#8221;.<\/p>\n<p>Empresa de ciberseguridad Rapid7 <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2024\/12\/10\/etr-widespread-exploitation-of-cleo-file-transfer-software-cve-2024-50623\/\" target=\"_blank\">dicho<\/a> tambi\u00e9n ha confirmado la explotaci\u00f3n exitosa del problema Cleo en los entornos de los clientes. Vale la pena se\u00f1alar que las termitas tienen <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/blue-yonder-saas-giant-breached-by-termite-ransomware-gang\/\" target=\"_blank\">reivindic\u00f3 la responsabilidad<\/a> por el reciente ciberataque a la empresa de cadena de suministro Blue Yonder.<\/p>\n<p>Equipo de cazadores de amenazas Symantec de Broadcom <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/termite-ransomware\" target=\"_blank\">dijo<\/a> The Hacker News dice que &#8220;Termite parece estar usando una versi\u00f3n modificada del ransomware Babuk que, cuando se ejecuta en una m\u00e1quina, cifra los archivos espec\u00edficos y agrega una extensi\u00f3n .termite&#8221;.<\/p>\n<p>&#8220;Desde que vimos que Blue Yonder ten\u00eda una instancia del software de Cleo abierta a Internet a trav\u00e9s de Shodan, y Termite ha reclamado a Blue Yonder entre sus v\u00edctimas, lo cual tambi\u00e9n fue confirmado por su lista y directorio abierto de archivos, dir\u00eda que Gossi es correcto en su declaraci\u00f3n&#8221;, dijo a la publicaci\u00f3n Jamie Levy, Director de T\u00e1cticas Adversarias de Huntress.<\/p>\n<p>&#8220;Por si sirve de algo, ha habido algunos rumores de que Termite podr\u00eda ser el nuevo Cl0p, hay algunos datos que parecen respaldar esto ya que las actividades de Cl0p han disminuido mientras que las actividades de Termite han aumentado. Tambi\u00e9n est\u00e1n operando de manera similar. Realmente no estamos en el juego de la atribuci\u00f3n, pero no ser\u00eda sorprendente en absoluto si estemos viendo un cambio en estas bandas de ransomware en este momento&#8221;.<\/p>\n<p><em>(Esta es una historia en desarrollo. Vuelva a consultar para obtener m\u00e1s actualizaciones).<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/12\/cleo-file-transfer-vulnerability-under.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de diciembre de 2024\ue804Ravie LakshmananAn\u00e1lisis de vulnerabilidad\/amenazas Se insta a los usuarios del software de transferencia de<\/p>\n","protected":false},"author":1,"featured_media":1480534,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1497,4661,5200,49338,4664,306,6965,201033,267097,4654,201031,4659,4653,4655,19938,22010,246983,255454,246984,201032,4525,246982,4014,4660],"class_list":["post-1480533","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-ataques-ciberneticos","tag-bajo","tag-cleo","tag-como-hackear","tag-explotacion","tag-insta","tag-las-noticias-de-los-piratas-informaticos","tag-mitigarla","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-parche","tag-pendiente","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-transferencia","tag-violacion-de-datos","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1480533","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1480533"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1480533\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1480534"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1480533"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1480533"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1480533"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}