Huntress 研究人员周一警告说,攻击者正在利用 Cleo – LexiCo、VLTransfer 和 Harmony – 文件传输软件中的一个漏洞(CVE-2024-50623)来访问企业的系统。

CVE-2024-50623 Cleo

“我们发现至少有 10 家企业的 Cleo 服务器被入侵,在 12 月 8 日 07:00 UTC 前后观察到利用率明显上升。不过,经过初步分析,我们发现早在 12 月 3 日就有被利用的证据,”他们分享道,并指出还有更多潜在的 Cleo 服务器存在漏洞。

发生了什么?

攻击者利用的是哪个漏洞?Huntress 的研究人员说是 CVE-2024-50623,这是一个不受限制的文件上传和下载漏洞,Cleo 于 2024 年 10 月底在 Harmony、VLTrader 和 LexiCom 的 v5.8.0.21 中发布了该漏洞的修复程序。

Huntress 研究人员发现,Cleo 提供的补丁 “并不能缓解软件漏洞”。

根据一份只有登录Cleo解决方案中心的客户才能查看的文件,“该漏洞已被利用,以包含服务器端JavaScript的恶意Freemarker模板的形式,在某些Cleo Harmony、VLTrader和LexiCom实例上安装恶意后门代码”。

该文件还提供了与攻击相关的入侵指标–两个文件哈希值和一个IPv4地址。

不过,该公司周一还发布了一份单独的公告,指出了一个自动运行漏洞(目前没有 CVE 编号),该漏洞影响到上述软件的所有版本,包括 v5.8.0.21。

该漏洞 “可能允许未经认证的用户利用 Autorun 目录的默认设置,在主机系统上导入并执行任意 bash 或 PowerShell 命令,”该公司在一份链接文件(位于上述注册墙后面)中解释说。

“该漏洞被用来在/[cleo product]/temp目录下放置包含恶意主机的随机命名文件,并在/autorun目录下放置导入命令。这些恶意主机的命令试图从一个或多个可疑的 IP 地址建立反向外壳连接,并返回到 Harmony、VLTrader 或 LexiCom 服务器。”

Cleo 共享的与这些攻击相关的 IP 地址(部分)与 Huntress 共享的 IP 地址一致。

Huntress 的研究人员承诺,一旦他们发现更多细节,就会更新博客,但到目前为止,他们发现攻击者在下载和使用某些文件后,会主动删除这些文件,以增加隐蔽性。他们还观察到攻击者使用内置的 Windows Server 命令行工具 Nltest 枚举潜在的 Active Directory 资产。

他们没有提到观察到任何数据/文件外渗活动,但网络勒索组织对企业文件传输工具的偏好是众所周知的。

缓解和检测建议

Huntress 研究人员建议企业将任何暴露在互联网上的 Cleo 系统转移到防火墙后面,直到新补丁发布为止。如果不使用自动运行功能,他们还建议将其禁用。

如果客户无法通过用户界面禁用自动运行功能,Cleo公司提供了脚本供客户使用。

对于在日常操作中使用 Autorun 的用户,该公司建议:

将默认的自动运行目录更改为自定义名称
搜索主机上的恶意文件并删除它们(手动或通过提供的脚本定位和隔离任何恶意主机)
在网络/防火墙层面阻止攻击 IP 地址

该公司还列出了客户可进行的配置更改,以限制对服务器的访问,并建议使用 EDR 解决方案监控配置或其他关键文件中的未经授权的更改。

据 Huntress 称,CVE-2024-50623 的新补丁正在开发中,可以肯定 Cleo 也在开发自动运行漏洞的补丁。

攻击者似乎同时利用了这两个漏洞,但我们已联系 Cleo 以求证和获取更多信息,一旦收到他们的回复,我们将更新本文。

更新(美国东部时间 2024 年 12 月 10 日下午 01:40):

Cleo 已经更新了该零日漏洞的公告,并将其描述更改为 “未经验证的恶意主机漏洞(CVE 待定),可能导致远程代码执行”。

该公司还表示,该漏洞影响到 Cleo Harmony、VLTrader 和 LexiCom 5.8.0.23 版(即将发布)。

Rapid7 的研究人员还 “证实在客户环境中成功利用了这一问题;与 Huntress 类似,我们的团队观察到了枚举和利用后的活动,并正在调查多起事件”。

网络安全专家凯文-博蒙特(Kevin Beaumont)今天早些时候表示,“Termite 勒索软件集团运营商(或许还有其他集团)拥有针对 Cleo LexiCom、VLTransfer 和 Harmony 的零日漏洞”。

更新(美国东部时间 2024 年 12 月 10 日下午 02:55):

“12 月,Huntress 和其他安全公司观察到通过 Cleo 软件、VLTrader、LexiCom 和 Harmony 进行的多次野外入侵。Huntress 研究员约翰-哈蒙德(John Hammond)告诉 Help Net Security:”被入侵主机上的版本各不相同,既有 5.8.0.21 之前的版本,也有已打补丁的 5.8.0.21 版本。

“这些入侵与’不受限制的文件上传和远程代码执行’的模式非常吻合,足以让业界认为这是利用了 CVE-2024-50623,然而,由于即使在’已打补丁’的 5.8.0.21 版本的主机上也能利用,这意味着(a)5.8.0.21 补丁不足以防止 CVE-2024-50623 的攻击,它可以被绕过,或者(b)这是一个全新的攻击载体。”

在观察了野外交易技术并重新创建了 Huntress 认为与威胁行为者在这些攻击中使用的技术相匹配的概念验证后,他们将其与 Cleo 共享,后者确认了 Huntress 的分析和研究,并告诉他们将发布一个新补丁并指定一个新的 CVE,与 CVE-2024-50623 分开。

“由于我们不知道 CVE-2024-50623 的全部技术细节,所以我们不知道威胁行为者是在利用这个特定漏洞,还是在执行一个完全不同的攻击向量(因为它确实成功攻破了已打补丁的版本)。坦率地说,在我们的谈话中没有讨论最初的 CVE-2024-50623,Cleo 也没有说明我们跟踪的是 CVE-2024-50623 漏洞,还是新的漏洞,”他补充说。

他补充说:“基于 Cleo 正在积极制作新补丁并指定新的 CVE,我们可以假设 12 月份的漏洞利用与 10 月份的 CVE 是两个独立的问题,但实事求是地说,Cleo 是唯一能确定这一点的来源。虽然攻击的模式是一致的,但我们能报告的只是我们从野外利用中观察到的情况,以及我们的概念验证,该验证仍能成功利用包括 5.8.0.21 在内的版本。”

更新(美国东部时间 2024 年 12 月 10 日下午 04:10):

“我们在 Cleo Harmony、VLTrader 和 LexiCom 产品中发现了一个关键漏洞。发现该漏洞后,我们立即在外部网络安全专家的协助下展开了调查,并将此问题通知了客户,同时提供了客户应立即采取的缓解措施,以在补丁开发期间解决该漏洞,”Cleo发言人分享了该公司的回应。

“我们的调查仍在进行中。我们鼓励客户定期查看Cleo的安全公告网页,以获取更新信息。Cleo公司将一如既往地为客户提供支持,并为那些在解决该漏洞方面需要额外技术援助的客户提供全天候客户支持服务。”

文章原文链接:https://www.anquanke.com/post/id/302611