【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用

摘要:网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。

安全漏洞

网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。

该漏洞影响 Cleo 的LexiCom 、VLTransfer 和Harmony 软件,涉及到未经身份验证的远程代码执行。漏洞编号为 CVE-2024-50623,Cleo 指出该缺陷是由于无限制的文件上传,可能为执行任意代码铺平了道路。后者在十月下旬通知客户已修补了一个无限制文件上传/下载问题,并称通过 5.8.0.21 版本修复。

有有意思的是,Huntress 发现 5.8.0.21 版本并未正确修补 CVE-2024-50623,并发现黑客已经在利用这个漏洞。这家安全公司观察到攻击者在受感染的系统上建立持久性,进行侦察,并试图保持隐蔽,还进行了其他未具体说明的“后渗透活动”。

该漏洞影响以下产品,预计将在本周晚些时候修补:

Cleo Harmony(版本高达 5.8.0.23) Cleo VLTrader(版本高达 5.8.0.23) Cleo LexiCom(版本高达 5.8.0.23)

根据网络安全公司检测到的攻击,该漏洞已被发现被利用来释放多个文件,其中包括一个被配置为运行嵌入式 PowerShell 命令的 XML 文件,该命令负责从远程服务器上获取下一个阶段的 Java 存档(JAR)文件。

具体而言,攻击利用了文件放置在安装文件夹内的“autorun”子目录中,并立即被易受攻击的软件读取、解释和评估。

这一事件让人想起了 MOVEit 黑客活动。几年前,网络犯罪分子在发现 Progress Software 的MOVEit 文件传输软件存在一个零日漏洞后,利用该漏洞从成千上万使用该产品的组织窃取了大量信息。

Huntress 表示,至少有 10 家企业的 Cleo 服务器通过利用 CVE-2024-50623 而被入侵,被攻击的服务器数量约为 1700 台。利用行为似乎早在 12 月3 日就已开始,12 月8 日则出现了攻击活动的激增。该公司表示:“我们看到的绝大多数受感染的客户与消费品、食品行业、卡车运输和航运业有关。”

Rapid7 也证实观察到涉及 CVE-2024-50623 利用的攻击,指出“和 Huntress 类似,我们的团队观察到了枚举和后渗透活动,并正在调查多个事件”。

Shodan 搜索显示,数百个公开互联网的 Cleo 产品实例运行着一个存在漏洞的版本。Huntress 没有分享关于这些攻击者可能是谁的任何信息,但他们共享了可以帮助防御者检测和阻止攻击的威胁指标(IoC)。他们还提供了一些建议以防止利用漏洞。

Cleo 目前更新了其指南,并提供了指向减轻建议的链接,但该文档仅对登录用户可用。Huntress 报告称,Cleo 正在制定一个新的补丁,预计将在本周中发布,还将分配一个新的 CVE 编号。

参考来源:https://www.securityweek.com/cleo-file-transfer-tool-vulnerability-exploited-in-wild-against-enterprises/

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧!

来源:小玉科技每日一讲

相关推荐