Hacker looking at a box

ハッカーは、クレオのマネージドファイル転送ソフトウェアのゼロデイ脆弱性を積極的に悪用して、企業ネットワークに侵入し、データ窃盗攻撃を行っています。

この欠陥は、同社のセキュアファイル転送製品であるCleo LexiCom、VLTrader、およびHarmonyで見つかり、CVE-2023-34362として追跡されているリモートコード実行の欠陥です。

Cleo MFTの脆弱性は、バージョン5.8.0.21およびそれ以前のバージョンに影響し、クレオが2024年10月に対処した、以前に修正された欠陥CVE-2024-50623のバイパスです。しかし、この修正は不完全であったため、脅威行為者はこの修正をバイパスし、攻撃に悪用し続けることができました。

クレオによると、同社のソフトウェアは、ターゲット、ウォルマート、ローリーズ、CVS、ホームデポ、フェデックス、クローガー、ウェイフェア、ダラー・ゼネラル、ビクトローラ、デュラフレームなど、世界中の4,000社で使用されているという。

これらの攻撃は、2023年のMOVEit Transferの大量悪用GoAnywhere MFTのゼロデイを利用した攻撃、2020年12月のAccellion FTAサーバーのゼロデイ悪用など、マネージドファイル転送製品のゼロデイを悪用した過去のClopデータ盗難攻撃を彷彿とさせる。

しかし、サイバーセキュリティの専門家であるケビン・ボーモント氏は、これらのクレオのデータ盗難攻撃は、最近世界中の多くの企業に利用されているサプライチェーン・ソフトウェア・プロバイダーであるBlue Yonderに侵入した新しいランサムウェア集団Termiteに関連していると主張している。

「Termiteランサムウェアグループの運営者(およびおそらく他のグループ)は、Cleo LexiCom、VLTransfer、およびHarmonyのゼロデイエクスプロイトを持っている」とBeaumont氏はMastodonに投稿した。

野生の攻撃

Cleo MFTソフトウェアの活発な悪用は、Huntressのセキュリティ研究者によって最初に発見され、彼らはまた、ユーザーに緊急措置を講じるよう警告する新しい文章で概念実証(PoC)エクスプロイトを公開した。

「5.8.0.21を実行している完全にパッチが適用されたシステムは、まだ悪用可能です

「新しいパッチがリリースされるまで、インターネットに露出したCleoシステムをファイアウォールの後ろに移動することを強くお勧めします。

CVE-2024-50623が積極的に悪用されている証拠は、2024年12月3日に始まり、12月8日に観測された攻撃量は大幅に増加した。

攻撃は、米国、カナダ、オランダ、リトアニア、モルドバの以下のIPアドレスに関連している。

176.123.5.126 - AS 200019 (AlexHost SRL) - モルドバ 5.149.249.226 - AS 59711 (HZ Hosting Ltd) - オランダ 185.181.230.103 - AS 60602 (Inovare-Prim SRL) - モルドバ 209.127.12.38 - AS 55286 (SERVER-MANIA / B2 Net Solutions Inc) - カナダ 181.214.147.164 - AS 15440 (UAB Baltnetos komunikacijos) - リトアニア‍ 192.119.99.42 - AS 54290 (HOSTWINDS LLC) - 米国

この攻撃は、Cleoの欠陥を悪用して、「healthchecktemplate.txt」または「healthcheck.txt」という名前のファイルを標的のエンドポイントの「autorun」ディレクトリに書き込み、Cleoソフトウェアによって自動的に処理させます。

この場合、ファイルは組み込みのインポート機能を呼び出して、実行されるPowerShellコマンドを含むXML設定(‘main.xml’)を含むZIPファイルのような追加のペイロードをロードします。

Exploit executing PowerShell commands on vulnerable devices
脆弱なデバイス上でPowerShellコマンドを実行するエクスプロイト
Source:ハントレス

PowerShellコマンドは、リモートIPアドレスへのコールバック接続を行い、追加のJARペイロードをダウンロードし、フォレンジック調査を妨げるために悪意のあるファイルをワイプします。

Huntressによると、攻撃者は「nltest.exe」を使用してActive Directoryドメインを列挙し、侵害されたシステム上で永続的なリモートアクセスのためにWebシェルを展開し、最終的にデータを盗むためにTCPチャネルを使用します。

ハントレスの遠隔測定によると、これらの攻撃はCleoソフトウェア製品を使用している少なくとも10の組織に影響を及ぼしており、そのうちのいくつかは消費者製品、食品産業、トラック運送業、および海運業を営んでいる。

ハントレス社によると、クレオのソフトウェア製品を使用している組織では、Shodanのインターネットスキャンで390件の被害が確認されており、被害者の大部分(298件)は米国に所在しているとのことです。

Macnicaの脅威研究者であるYutaka Sejiyama氏によると、彼のスキャン結果は、Harmonyが379件、VLTraderが124件、LexiComが240件であったという。

必要な対策

CVE-2024-50623の悪用が活発であり、現在のパッチ(バージョン5.8.0.21)が有効でないことから、ユーザーは侵害のリスクを軽減するために早急に対策を講じる必要がある。

ハントレスでは、インターネットに露出したシステムをファイアウォールの背後に移動し、クレオシステムへの外部アクセスを制限することを提案しています。

また、以下の手順で自動実行機能をオフにすることをお勧めします:

  1. Cleoアプリケーション(LexiCom、VLTrader、またはHarmony)を開きます。
  2. に移動します:設定] > [オプション] > [その他のペイン
  3. オートランディレクトリ]フィールドをクリアします。
  4. 変更を保存する

Check for compromise by looking for suspicious TXT and XML files on the directories ‘C:LexiCom,’ ‘C:VLTrader,’ and ‘C:Harmony,’ and inspect logs for PowerShell command execution.

Huntressによると、Cleoはこの欠陥に対する新しいセキュリティアップデートが今週後半にリリースされることを期待しているという。

クレオ社から回答があり次第、この記事を更新します。