Vulnerabilidad en Cleo File Transfer bajo explotación (Sin Parches)

XPoint
Publicado el 10/12/2024

Usuarios del software de transferencia de archivos gestionado por Cleo deben asegurarse de que sus instancias no estén expuestas a Internet, luego de reportes sobre una explotación masiva de una vulnerabilidad que afecta incluso sistemas completamente actualizados.

La empresa de ciberseguridad Huntress descubrió el 3 de diciembre de 2024 que actores maliciosos están explotando este problema de forma masiva. La vulnerabilidad, que afecta a los productos LexiCom, VLTrader y Harmony de Cleo, permite la ejecución remota de código sin autenticación.

Esta brecha de seguridad, identificada como CVE-2024-50623, se debe a una carga de archivos no restringida, lo que permite la ejecución de código arbitrario. Cleo ha emitido otra advertencia sobre una segunda vulnerabilidad (CVE pendiente), también relacionada con ejecución remota de código debido a hosts maliciosos no autenticados.

Según Huntress, los parches liberados para CVE-2024-50623 no mitigan completamente el problema subyacente. Las versiones afectadas incluyen:

Cleo Harmony (hasta la versión 5.8.0.23)

Cleo VLTrader (hasta la versión 5.8.0.23)

Cleo LexiCom (hasta la versión 5.8.0.23)

Se espera que los parches definitivos estén disponibles esta semana.

 

Detalles del ataque

En los ataques detectados, los actores de amenazas aprovechan la vulnerabilidad para colocar múltiples archivos, incluida una configuración XML que ejecuta un comando PowerShell incrustado. Este comando descarga un archivo JAR desde un servidor remoto para desplegar una segunda etapa del ataque.

El proceso abusa de la funcionalidad del software, ya que cualquier archivo colocado en el subdirectorio “autorun” es leído, interpretado y ejecutado automáticamente.

Hasta ahora, al menos 10 organizaciones han visto comprometidos sus servidores Cleo, con un pico de actividad registrado el 8 de diciembre de 2024 a las 7:00 a.m. UTC. La evidencia indica que la explotación comenzó el 3 de diciembre de 2024. Las organizaciones afectadas pertenecen a sectores como productos de consumo, logística, envíos y proveedores de alimentos.

Se recomienda a los usuarios mantener sus sistemas actualizados y limitar la exposición del software a redes seguras.

 

Implicación de grupos de ransomware

Grupos de ransomware como Cl0p (también conocido como Lace Tempest) han atacado previamente herramientas de transferencia de archivos gestionados, y este escenario no parece ser diferente. Según el investigador de seguridad Kevin Beaumont (alias GossiTheDog), el grupo Termite tiene un exploit zero-day para Cleo LexiCom, VLTrader y Harmony.

La empresa de ciberseguridad Rapid7 también confirmó la explotación exitosa de esta vulnerabilidad en entornos de clientes. Cabe destacar que Termite ha reivindicado el reciente ataque contra la cadena de suministro de Blue Yonder.

El equipo Symantec Threat Hunter de Broadcom informó que “Termite parece estar utilizando una versión modificada del ransomware Babuk, que cifra archivos y agrega la extensión .termite.”

Jamie Levy, Directora de Tácticas del Adversario en Huntress, comentó: “Dado que vimos que Blue Yonder tenía una instancia del software de Cleo expuesta en Shodan y que Termite ha reclamado esta víctima, es muy probable que Kevin Beaumont esté en lo correcto.”

Añadió además: “Se rumorea que Termite podría ser el nuevo Cl0p, ya que las actividades de Cl0p han disminuido mientras que Termite ha aumentado su actividad. Sus tácticas son similares, y aunque no nos especializamos en atribuciones, no sería sorprendente ver un cambio de actores en el ecosistema del ransomware.”

 


English

Cleo File Transfer Vulnerability Under Exploitation – Patch Pending, Mitigation Urged

 

Users of Cleo’s managed file transfer software are being urged to ensure their systems are not exposed to the internet following reports of widespread exploitation of a vulnerability affecting fully patched installations.

Cybersecurity firm Huntress discovered evidence on December 3, 2024, of threat actors actively exploiting this flaw. The vulnerability impacts Cleo’s LexiCom, VLTrader, and Harmony products and allows for unauthenticated remote code execution.

Tracked as CVE-2024-50623, the flaw stems from an unrestricted file upload, enabling attackers to execute arbitrary code. Cleo has also issued a warning about a second vulnerability (CVE pending) tied to unauthenticated malicious hosts leading to remote code execution.

Huntress noted that the patches released for CVE-2024-50623 do not fully address the underlying issue. The affected versions include:

Cleo Harmony (up to version 5.8.0.23)

Cleo VLTrader (up to version 5.8.0.23)

Cleo LexiCom (up to version 5.8.0.23)

Final patches are expected later this week.

 

Attack Details

The detected attacks exploit the vulnerability to drop multiple files, including an XML configuration containing an embedded PowerShell command that downloads a JAR file from a remote server.

This abuse stems from the software’s behavior: any file placed in the “autorun” subdirectory is automatically read, interpreted, and executed.

At least 10 organizations have already had their Cleo servers compromised, with a spike in exploitation observed on December 8, 2024, around 7:00 a.m. UTC. Evidence suggests exploitation began as early as December 3, 2024. Affected sectors include consumer products, logistics, shipping, and food supply.

Users are strongly advised to keep their software updated and restrict its exposure to secure networks.

 

Ransomware Group Involvement

Ransomware groups like Cl0p (aka Lace Tempest) have previously targeted managed file transfer tools, and this attack seems no different. Security researcher Kevin Beaumont (aka GossiTheDog) reported that the Termite group possesses a zero-day exploit for Cleo’s LexiCom, VLTrader, and Harmony software.

Cybersecurity firm Rapid7 has also confirmed successful exploitation of the vulnerability in customer environments. Notably, Termite claimed responsibility for a recent attack on supply chain firm Blue Yonder.

Broadcom’s Symantec Threat Hunter Team shared that “Termite appears to be using a modified version of the Babuk ransomware, which encrypts files and appends the .termite extension.”

Jamie Levy, Huntress’ Director of Adversary Tactics, added: “Since Blue Yonder’s Cleo instance was visible on Shodan and Termite listed them as victims with an open directory of stolen files, Kevin Beaumont’s analysis appears accurate.”

She further noted: “There are rumors that Termite might be replacing Cl0p, as Cl0p’s activity has decreased while Termite’s has surged. Their methods are similar, and while attribution isn’t our focus, a shift in ransomware actors wouldn’t be surprising.”

Preguntas frecuentes

¿Qué es un Ransomware?

+

El ransomware, en informática, es un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta. El ciberdelincuente toma control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc.

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos