Les pirates exploitent activement une vulnérabilité zero-day dans le logiciel de transfert de fichiers géré Cleo pour violer les réseaux d’entreprise et mener des attaques de vol de données.
La faille se trouve dans les produits de transfert de fichiers sécurisés de la société, Cleo LexiCom, VLTrader et Harmony, et est une faille d’exécution de code à distance répertoriée sous le numéro CVE-2023-34362.
La vulnérabilité Cleo MFT affecte les versions 5.8.0.21 et antérieures et constitue un contournement pour une faille précédemment corrigée, CVE-2024-50623, que Cleo a corrigée en octobre 2024. Cependant, le correctif était incomplet, permettant aux acteurs de la menace de le contourner et de continuer à l’exploiter lors d’attaques.
Cleo affirme que son logiciel est utilisé par 4 000 entreprises dans le monde entier, notamment Target, Walmart, Lowes, CVS, Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola et Duraflame.
Ces attaques rappellent les précédentes attaques de vol de données Clop qui exploitaient les jours zéro dans les produits de transfert de fichiers gérés, y compris l’exploitation en masse de MOVEit Transfer en 2023, les attaques utilisant un jour zéro GoAnywhere MFT et l’exploitation en décembre 2020 des serveurs FTA Accellion.
Cependant, l’expert en cybersécurité Kevin Beaumont affirme que ces attaques de vol de données Cleo sont liées au nouveau gang de ransomwares Termite, qui a récemment violé Blue Yonder, un fournisseur de logiciels de chaîne d’approvisionnement utilisé par de nombreuses entreprises dans le monde entier.
« Les opérateurs du groupe de ransomwares Termite (et peut-être d’autres groupes) ont un exploit zero day pour Cleo LexiCom, VLTransfer et Harmony », a posté Beaumont sur Mastodon.
Attaques dans la nature
L’exploitation active du logiciel Cleo MFT a été repérée pour la première fois par les chercheurs en sécurité de Huntress, qui ont également publié un exploit de preuve de concept (PoC) dans une nouvelle rédaction avertissant les utilisateurs de prendre des mesures urgentes.
« Cette vulnérabilité est activement exploitée dans la nature et les systèmes entièrement corrigés exécutant 5.8.0.21 sont toujours exploitables », explique Huntress.
« Nous vous recommandons fortement de déplacer tous les systèmes Cleo exposés à Internet derrière un pare-feu jusqu’à ce qu’un nouveau correctif soit publié. »
Des preuves d’exploitation active de CVE-2024-50623 ont commencé le 3 décembre 2024, avec une légère hausse significative du volume d’attaques observée le 8 décembre.
Bien que l’attribution reste incertaine, les attaques sont liées aux adresses IP suivantes aux États-Unis, au Canada, aux Pays-Bas, en Lituanie et en Moldavie.
176.123.5.126 - AS 200019 (AlexHost SRL) - Moldova
5.149.249.226 - AS 59711 (HZ Hosting Ltd) - Netherlands
185.181.230.103 - AS 60602 (Inovare-Prim SRL) - Moldova
209.127.12.38 - AS 55286 (SERVER-MANIA / B2 Net Solutions Inc) - Canada
181.214.147.164 - AS 15440 (UAB Baltnetos komunikacijos) - Lithuania
192.119.99.42 - AS 54290 (HOSTWINDS LLC) - United StatesLes attaques exploitent la faille Cleo pour écrire des fichiers nommés « healthchecktemplate ».txt » ou » bilan de santé.txt ‘dans le répertoire’ autorun ‘ des points de terminaison ciblés, qui sont automatiquement traités par le logiciel Cleo.
Lorsque cela se produit, les fichiers invoquent des fonctionnalités d’importation intégrées pour charger des charges utiles supplémentaires telles que des fichiers ZIP contenant des configurations XML (‘main.xml’), qui contiennent des commandes PowerShell qui seront exécutées.
Les commandes PowerShell établissent des connexions de rappel vers des adresses IP distantes, téléchargent des charges utiles JAR supplémentaires et effacent les fichiers malveillants pour entraver les enquêtes médico-légales.
Dans la phase de post-exploitation, Huntress dit que les attaquants utilisent ‘ nltest.exe ‘ pour énumérer les domaines Active Directory, déployer des webshells pour un accès distant persistant sur des systèmes compromis et utiliser des canaux TCP pour finalement voler des données.
La télémétrie de Huntress indique que ces attaques ont touché au moins dix organisations utilisant les produits logiciels Cleo, dont certaines exercent des activités dans les produits de consommation, l’industrie alimentaire, le camionnage et l’expédition.
Huntress note qu’il y a plus de victimes potentielles au-delà de sa visibilité, avec les analyses Internet de Shodan renvoyant 390 résultats pour les produits logiciels Cleo, La grande majorité (298) des serveurs vulnérables sont situés aux États-Unis.
Yutaka Sejiyama, chercheur en menaces chez Macnica, a déclaré à Breachtrace que ses analyses renvoyaient 379 résultats pour Harmony, 124 pour VLTrader et 240 pour LexiCom.
Action requise
Compte tenu de l’exploitation active de CVE-2024-50623 et de l’inefficacité du correctif actuel (version 5.8.0.21), les utilisateurs doivent prendre des mesures immédiates pour atténuer le risque de compromission.
Huntress suggère de déplacer les systèmes exposés à Internet derrière un pare-feu et de restreindre l’accès externe aux systèmes Cleo.
En outre, il est recommandé de désactiver la fonction d’exécution automatique en suivant ces étapes:
- Ouvrez l’application Cleo (LexiCom, VLTrader ou Harmony)
- Accédez à: Configurer > Options > Autre panneau
- Effacez le champ intitulé Répertoire d’exécution automatique
- Enregistrez les modifications
Vérifiez la compromission en recherchant des fichiers TEXTE et XML suspects dans les répertoires ‘C:\LexiCom, » « C:\VLTrader, » et « C:\Harmony,’ et inspectez les journaux pour l’exécution de la commande PowerShell.
Huntress dit que Cleo s’attend à ce qu’une nouvelle mise à jour de sécurité pour cette faille soit publiée plus tard cette semaine.
Breachtrace a contacté Cleo avec des questions supplémentaires, et nous mettrons à jour ce message dès que nous recevrons une réponse.