CISAは本日、Cleo Harmony、VLTrader、およびLexiComファイル転送ソフトウェアの重大なセキュリティ脆弱性がランサムウェア攻撃に悪用されていることを確認しました。
この欠陥(CVE-2024-50623として追跡され、バージョン5.8.0.21以前のすべてのバージョンに影響)は、認証されていない攻撃者がオンラインで公開された脆弱なサーバー上でリモートでコードを実行されることを可能にします。
Cleoは10月にこれを修正するセキュリティアップデートをリリースし、潜在的な攻撃ベクトルを追加するため、すべての顧客に「直ちにインスタンスをアップグレードする」よう警告している。
同社は、CVE-2024-50623が野生の標的になっていることを明らかにしていないが、金曜日にCISAは、このセキュリティバグを既知の悪用される脆弱性のカタログに追加し、ランサムウェアキャンペーンで使用されているとしてタグ付けした。
KEVカタログに追加されたことを受け、米連邦政府機関は、2021年11月に発行された拘束力のある運用指令(BOD 22-01)で義務付けられている通り、1月3日までに適用して攻撃からネットワークを保護しなければならない。
サイバーセキュリティ機関は、CVE-2024-50623エクスプロイトの脆弱性が残されたCleoサーバーを標的としたランサムウェアキャンペーンに関するその他の情報を提供していないが、これらの攻撃は、近年MOVEit Transfer、GoAnywhere MFT、Accellion FTAのゼロデイを悪用した過去のClopデータ盗難 攻撃と酷似している。
また、この欠陥はランサムウェア「Termite」によって悪用されたという説もある。しかし、この関連は、Blue YonderがCleoソフトウェアのサーバーを公開しており、ランサムウェアのギャングが主張するサイバー攻撃で侵入されたために作られたに過ぎないと考えられています。
Cleoのゼロデイも積極的に悪用
Huntressのセキュリティ研究者が10日前に初めて発見したように、完全にパッチが適用されたCleoサーバーは依然として侵害されており、おそらくCVE-2024-50623バイパス(CVE IDはまだ取得されていない)を使用して、攻撃者はデフォルトのAutorunフォルダ設定を悪用して任意のPowerShellまたはbashコマンドをインポートして実行することができます。
Cleoは現在、活発に悪用されているこのゼロデイバグを修正するパッチをリリースしており、インターネットに公開されたサーバーを侵害の試みから保護するために、できるだけ早くバージョン5.8.0.24にアップグレードするよう顧客に呼びかけています。
「パッチを適用すると、このエクスプロイトに関連するファイルが起動時に見つかった場合、エラーがログに記録され、それらのファイルは削除されます。
すぐにアップグレードできない管理者は、システム・オプションからAutorunディレクトリを削除してAutorun機能を無効にし、攻撃対象領域を減らすことが推奨される。
Rapid7がゼロデイ攻撃の調査中に発見したように、脅威当事者はこのゼロデイを悪用して、より大規模なJavaベースのポストエクスプロイトフレームワークの一部であるJava Archive (JAR) ペイロード[VirusTotal]を投下しています。

このマルウェアを分析し、Malichusと命名したHuntressは、Linuxにも対応しているものの、Windowsデバイス上での展開しか発見できなかったと述べています。
現在進行中の攻撃を調査した別のサイバーセキュリティ企業、Binary Defense ARC Labsによると、マルウェアのオペレーターはファイル転送、コマンド実行、ネットワーク通信にMalichusを使用できる。
これまでのところ、ハントレスはCleoサーバーが侵害された少なくとも2ダースの企業を発見しており、他にも潜在的な被害者がいる可能性が高いと述べている。ソフォスのMDRチームとラボチームも、50以上のCleoホストで侵害の兆候を発見している。
クレオの広報担当者は、CVE-2024-50623の欠陥がゼロデイとして攻撃に悪用されたことを確認するため、本日早朝に連絡を取ったが、すぐに回答は得られなかった。
Comments