网络安全公司 Huntress 在周一警告称，影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补，并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司，为超过 4200 家组织提供供应链和 B2B 集成解决方案。

该漏洞影响 Cleo 的LexiCom 、VLTransfer 和Harmony 软件，涉及到未经身份验证的远程代码执行。漏洞编号为 CVE-2024-50623，Cleo 指出该缺陷是由于无限制的文件上传，可能为执行任意代码铺平了道路。后者在十月下旬通知客户已修补了一个无限制文件上传/下载问题，并称通过 5.8.0.21 版本修复。

有有意思的是，Huntress 发现 5.8.0.21 版本并未正确修补 CVE-2024-50623，并发现黑客已经在利用这个漏洞。这家安全公司观察到攻击者在受感染的系统上建立持久性，进行侦察，并试图保持隐蔽，还进行了其他未具体说明的“后渗透活动”。

该漏洞影响以下产品，预计将在本周晚些时候修补：

Cleo Harmony（版本高达 5.8.0.23）

Cleo VLTrader（版本高达 5.8.0.23）

Cleo LexiCom（版本高达 5.8.0.23）

根据网络安全公司检测到的攻击，该漏洞已被发现被利用来释放多个文件，其中包括一个被配置为运行嵌入式 PowerShell 命令的 XML 文件，该命令负责从远程服务器上获取下一个阶段的 Java 存档（JAR）文件。

具体而言，攻击利用了文件放置在安装文件夹内的“autorun”子目录中，并立即被易受攻击的软件读取、解释和评估。

这一事件让人想起了 MOVEit 黑客活动。几年前，网络犯罪分子在发现 Progress Software 的MOVEit 文件传输软件存在一个零日漏洞后，利用该漏洞从成千上万使用该产品的组织窃取了大量信息。

Huntress 表示，至少有 10 家企业的 Cleo 服务器通过利用 CVE-2024-50623 而被入侵，被攻击的服务器数量约为 1700 台。利用行为似乎早在 12 月3 日就已开始，12 月8 日则出现了攻击活动的激增。该公司表示：“我们看到的绝大多数受感染的客户与消费品、食品行业、卡车运输和航运业有关。”

Rapid7 也证实观察到涉及 CVE-2024-50623 利用的攻击，指出“和 Huntress 类似，我们的团队观察到了枚举和后渗透活动，并正在调查多个事件”。

Shodan 搜索显示，数百个公开互联网的 Cleo 产品实例运行着一个存在漏洞的版本。Huntress 没有分享关于这些攻击者可能是谁的任何信息，但他们共享了可以帮助防御者检测和阻止攻击的威胁指标（IoC）。他们还提供了一些建议以防止利用漏洞。

Cleo 目前更新了其指南，并提供了指向减轻建议的链接，但该文档仅对登录用户可用。Huntress 报告称，Cleo 正在制定一个新的补丁，预计将在本周中发布，还将分配一个新的 CVE 编号。

参考来源：https://www.securityweek.com/cleo-file-transfer-tool-vulnerability-exploited-in-wild-against-enterprises/

【安全圈】2024下半年软考成绩查询入口崩溃了

【安全圈】TikTok提交紧急动议 试图暂缓美国“不卖就禁”法令生效

【安全圈】SaaS巨头被勒索攻击，泄露680GB数据

【安全圈】俄罗斯APT组织打击乌克兰国防企业

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！