クレオは、同社の LexiCom、VLTransfer、および Harmony ソフトウェアのゼロデイ欠陥に対するセキュリティ更新プログラムをリリースした。
同社は10月、マネージド・ファイル転送ソフトウェアの認証前リモートコード実行の脆弱性(CVE-2024-50623)にパッチを適用し、「すべての顧客に直ちにアップグレードする」よう勧告した。
ハントレスのセキュリティ研究者は12月3日、完全にパッチが適用されたCleoソフトウェアを標的とした攻撃の証拠を初めて発見した。その後、12月8日(日)に攻撃者がCVE-2024-50623バイパス(CVE-IDなし)を発見し、デフォルトのAutorunフォルダ設定を悪用して任意のbashまたはPowerShellコマンドをインポートして実行できるようになったため、活動が顕著に増加しました。
このゼロデイバグは現在、サイバーセキュリティの専門家であるKevin Beaumont氏によって、最近SaaS(Software as a Service)プロバイダーであるBlue Yonderの侵害を主張したランサムウェア集団Termiteと関連付けられた攻撃で悪用されている。
“この脆弱性は、野生で活発に悪用されており、5.8.0.21を実行している完全にパッチが適用されたシステムは、まだ悪用可能である “とハントレスは月曜日に警告した。
「新しいパッチがリリースされるまで、インターネットに露出したCleoシステムをファイアウォールの後ろに移動することを強くお勧めします。
Shodanは現在、世界中で421台のCleoサーバーを追跡しており、そのうち327台は米国内にある。マクニカ脅威リサーチャーの瀬地山豊氏も、オンラインでアクセス可能な743台のCleoサーバー(379台がHarmonyソフトウェア、124台がVLTrader、240台がLexiCom)を発見した。)
Malichusマルウェア攻撃をブロックするパッチが利用可能に
クレオは本日、現在進行中の攻撃をブロックするためのパッチをリリースし、侵入の被害に遭いやすいインターネットに露出したサーバーを保護するため、できるだけ早くバージョン5.8.0.24にアップグレードするよう顧客に呼びかけました。
クレオは、「Harmony、VLTrader、および LexiCom のインスタンスを直ちに最新のパッチ(バージョン 5.8.0.24)にアップグレードし、脆弱性の潜在的な攻撃ベクトルがさらに発見された場合に対処するよう、すべてのお客様に強くお勧めします」と述べています。「パッチの適用後、この脆弱性に関連するファイルが起動時に見つかると、エラーがログに記録され、それらのファイルは削除されます。
クレオは、すぐにアップグレードできない場合は、システムオプションからオートランディレクトリを削除し、オートラン機能を無効にすることを勧めている。
Rapid7が攻撃の調査中に発見したように、脅威の主体は、現在パッチが適用されていることを悪用して、より大規模なJavaベースのポストエクスプロイトフレームワークの一部であるエンコードされたJavaアーカイブ(JAR)ペイロードを展開しました[VirusTotal]。
Huntressはまた、マルウェア(現在はMalichusと命名)を分析し、Linuxにも対応しているにもかかわらず、Windowsデバイス上でのみ展開されていると述べています。Binary Defense ARC Labsによると、マルウェアのオペレーターはファイル転送、コマンド実行、ネットワーク通信にMalichusを使用できる。
これまでのところ、ハントレスは、これらの進行中の攻撃でCleoサーバーがハッキングされた少なくとも10社を発見し、他にも潜在的な被害者がいると述べている。また、ソフォスは50以上のCleoホストで侵害の兆候を発見している。
「影響を受けたすべての顧客は、北米(主に米国)に支社を持つか、北米で事業を展開しています。被害が確認された顧客の大半は小売組織である」とソフォスは述べています。
これらの攻撃は、近年MOVEit Transfer、GoAnywhere MFT、Accellion FTAのゼロデイを狙ったClopデータ盗難攻撃と非常によく似ています。
Comments