Cleo a publié des mises à jour de sécurité pour une faille zero-day dans ses logiciels LexiCom, VLTransfer et Harmony, actuellement exploitées dans des attaques de vol de données.
En octobre, la société a corrigé une vulnérabilité d’exécution de code à distance pré-authentification (CVE-2024-50623) dans son logiciel de transfert de fichiers géré et a recommandé à « tous les clients de mettre à niveau immédiatement. »
Les chercheurs en sécurité de Huntress ont repéré pour la première fois des preuves d’attaques ciblant le logiciel Cleo entièrement corrigé le 3 décembre. Cela a été suivi d’une augmentation notable de l’activité le dimanche 8 décembre, après que les attaquants ont rapidement découvert un contournement CVE-2024-50623 (sans CVE-ID) qui leur permet d’importer et d’exécuter des commandes bash ou PowerShell arbitraires en exploitant les paramètres de dossier d’exécution automatique par défaut.
Ce bogue zero-day est maintenant exploité dans des attaques en cours liées par l’expert en cybersécurité Kevin Beaumont au gang de ransomwares Termite, qui a récemment revendiqué la violation du fournisseur de logiciels en tant que service (SaaS) Blue Yonder.
« Cette vulnérabilité est activement exploitée dans la nature et les systèmes entièrement corrigés exécutant 5.8.0.21 sont toujours exploitables », a averti Huntress lundi.
« Nous vous recommandons fortement de déplacer tous les systèmes Cleo exposés à Internet derrière un pare-feu jusqu’à ce qu’un nouveau correctif soit publié. »
Shodan suit actuellement 421 serveurs Cleo dans le monde, dont 327 aux États-Unis. Yutaka Sejiyama, chercheur en menaces chez Macnica, a également découvert que 743 serveurs Cleo étaient accessibles en ligne (379 exécutant le logiciel Harmony, 124 VLTrader et 240 LexiCom).
Correctifs disponibles pour bloquer les attaques de logiciels malveillants Malichus
Aujourd’hui, Cleo a publié des correctifs pour bloquer les attaques en cours et a exhorté les clients à passer à la version 5.8.0.24 dès que possible pour sécuriser les serveurs exposés à Internet vulnérables aux tentatives de violation.
« Cleo conseille vivement à tous les clients de mettre immédiatement à niveau les instances d’Harmony, VLTrader et LexiCom vers le dernier correctif publié (version 5.8.0.24) pour traiter les vecteurs d’attaque potentiels supplémentaires découverts de la vulnérabilité », a déclaré la société. « Après l’application du correctif, les erreurs sont enregistrées pour tous les fichiers trouvés au démarrage liés à cet exploit, et ces fichiers sont supprimés », a-t-il ajouté.
Cleo conseille à ceux qui ne peuvent pas mettre à niveau immédiatement de désactiver la fonction d’exécution automatique en accédant aux Options du système et en effaçant le répertoire d’exécution automatique (cela ne bloquera pas les attaques entrantes mais réduira la surface d’attaque).
Les acteurs de la menace ont exploité le correctif actuel pour déployer une charge utile d’archive Java codée (JAR) [VirusTotal] qui fait partie d’un cadre de post-exploitation plus vaste basé sur Java, comme Rapid7 l’a découvert lors de l’enquête sur les attaques.
Huntress a également analysé le malware (maintenant nommé Malichus) et a déclaré qu’il n’était déployé que sur les appareils Windows, même s’il est également compatible avec Linux. Selon Binary Defense ARC Labs, les opérateurs de logiciels malveillants peuvent utiliser Malichus pour les transferts de fichiers, l’exécution de commandes et la communication réseau.
Jusqu’à présent, Huntress a découvert au moins dix entreprises dont les serveurs Cleo ont été piratés lors de ces attaques en cours et a déclaré qu’il y avait d’autres victimes potentielles. Sophos a également trouvé des indicateurs de compromission sur plus de 50 hôtes Cleo.
« Tous les clients touchés observés ont une succursale ou exercent leurs activités en Amérique du Nord, principalement aux États-Unis. Nous notons que la majorité des clients concernés observés sont des organisations de vente au détail », a déclaré Sophos.
Ces attaques sont très similaires aux attaques de vol de données Clip ciblant les jours zéro dans MOVEit Transfer, GoAnywhere MFT et Accellion FTA ces dernières années.