Usuarios del software de transferencia de archivos gestionado por Cleo deben asegurarse de que sus instancias no estén expuestas a Internet, luego de reportes sobre una explotación masiva de una vulnerabilidad que afecta incluso sistemas completamente actualizados.
La empresa de ciberseguridad Huntress descubrió el 3 de diciembre de 2024 que actores maliciosos están explotando este problema de forma masiva. La vulnerabilidad, que afecta a los productos LexiCom, VLTrader y Harmony de Cleo, permite la ejecución remota de código sin autenticación.
Esta brecha de seguridad, identificada como CVE-2024-50623, se debe a una carga de archivos no restringida, lo que permite la ejecución de código arbitrario. Cleo ha emitido otra advertencia sobre una segunda vulnerabilidad (CVE pendiente), también relacionada con ejecución remota de código debido a hosts maliciosos no autenticados.
Según Huntress, los parches liberados para CVE-2024-50623 no mitigan completamente el problema subyacente. Las versiones afectadas incluyen:
•Cleo Harmony (hasta la versión 5.8.0.23)
•Cleo VLTrader (hasta la versión 5.8.0.23)
•Cleo LexiCom (hasta la versión 5.8.0.23)
Se espera que los parches definitivos estén disponibles esta semana.
En los ataques detectados, los actores de amenazas aprovechan la vulnerabilidad para colocar múltiples archivos, incluida una configuración XML que ejecuta un comando PowerShell incrustado. Este comando descarga un archivo JAR desde un servidor remoto para desplegar una segunda etapa del ataque.
El proceso abusa de la funcionalidad del software, ya que cualquier archivo colocado en el subdirectorio “autorun” es leído, interpretado y ejecutado automáticamente.
Hasta ahora, al menos 10 organizaciones han visto comprometidos sus servidores Cleo, con un pico de actividad registrado el 8 de diciembre de 2024 a las 7:00 a.m. UTC. La evidencia indica que la explotación comenzó el 3 de diciembre de 2024. Las organizaciones afectadas pertenecen a sectores como productos de consumo, logística, envíos y proveedores de alimentos.
Se recomienda a los usuarios mantener sus sistemas actualizados y limitar la exposición del software a redes seguras.
Grupos de ransomware como Cl0p (también conocido como Lace Tempest) han atacado previamente herramientas de transferencia de archivos gestionados, y este escenario no parece ser diferente. Según el investigador de seguridad Kevin Beaumont (alias GossiTheDog), el grupo Termite tiene un exploit zero-day para Cleo LexiCom, VLTrader y Harmony.
La empresa de ciberseguridad Rapid7 también confirmó la explotación exitosa de esta vulnerabilidad en entornos de clientes. Cabe destacar que Termite ha reivindicado el reciente ataque contra la cadena de suministro de Blue Yonder.
El equipo Symantec Threat Hunter de Broadcom informó que “Termite parece estar utilizando una versión modificada del ransomware Babuk, que cifra archivos y agrega la extensión .termite.”
Jamie Levy, Directora de Tácticas del Adversario en Huntress, comentó: “Dado que vimos que Blue Yonder tenía una instancia del software de Cleo expuesta en Shodan y que Termite ha reclamado esta víctima, es muy probable que Kevin Beaumont esté en lo correcto.”
Añadió además: “Se rumorea que Termite podría ser el nuevo Cl0p, ya que las actividades de Cl0p han disminuido mientras que Termite ha aumentado su actividad. Sus tácticas son similares, y aunque no nos especializamos en atribuciones, no sería sorprendente ver un cambio de actores en el ecosistema del ransomware.”
English
Users of Cleo’s managed file transfer software are being urged to ensure their systems are not exposed to the internet following reports of widespread exploitation of a vulnerability affecting fully patched installations.
Cybersecurity firm Huntress discovered evidence on December 3, 2024, of threat actors actively exploiting this flaw. The vulnerability impacts Cleo’s LexiCom, VLTrader, and Harmony products and allows for unauthenticated remote code execution.
Tracked as CVE-2024-50623, the flaw stems from an unrestricted file upload, enabling attackers to execute arbitrary code. Cleo has also issued a warning about a second vulnerability (CVE pending) tied to unauthenticated malicious hosts leading to remote code execution.
Huntress noted that the patches released for CVE-2024-50623 do not fully address the underlying issue. The affected versions include:
•Cleo Harmony (up to version 5.8.0.23)
•Cleo VLTrader (up to version 5.8.0.23)
•Cleo LexiCom (up to version 5.8.0.23)
Final patches are expected later this week.
The detected attacks exploit the vulnerability to drop multiple files, including an XML configuration containing an embedded PowerShell command that downloads a JAR file from a remote server.
This abuse stems from the software’s behavior: any file placed in the “autorun” subdirectory is automatically read, interpreted, and executed.
At least 10 organizations have already had their Cleo servers compromised, with a spike in exploitation observed on December 8, 2024, around 7:00 a.m. UTC. Evidence suggests exploitation began as early as December 3, 2024. Affected sectors include consumer products, logistics, shipping, and food supply.
Users are strongly advised to keep their software updated and restrict its exposure to secure networks.
Ransomware groups like Cl0p (aka Lace Tempest) have previously targeted managed file transfer tools, and this attack seems no different. Security researcher Kevin Beaumont (aka GossiTheDog) reported that the Termite group possesses a zero-day exploit for Cleo’s LexiCom, VLTrader, and Harmony software.
Cybersecurity firm Rapid7 has also confirmed successful exploitation of the vulnerability in customer environments. Notably, Termite claimed responsibility for a recent attack on supply chain firm Blue Yonder.
Broadcom’s Symantec Threat Hunter Team shared that “Termite appears to be using a modified version of the Babuk ransomware, which encrypts files and appends the .termite extension.”
Jamie Levy, Huntress’ Director of Adversary Tactics, added: “Since Blue Yonder’s Cleo instance was visible on Shodan and Termite listed them as victims with an open directory of stolen files, Kevin Beaumont’s analysis appears accurate.”
She further noted: “There are rumors that Termite might be replacing Cl0p, as Cl0p’s activity has decreased while Termite’s has surged. Their methods are similar, and while attribution isn’t our focus, a shift in ransomware actors wouldn’t be surprising.”
El ransomware, en informática, es un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta. El ciberdelincuente toma control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.