Se insta a los usuarios del software de transferencia de archivos administrado por Cleo a que se aseguren de que sus instancias no queden expuestas a Internet luego de informes de explotación masiva de una vulnerabilidad que afecta a sistemas completamente parcheados.
La empresa de ciberseguridad Huntress dicho descubrió evidencia de actores de amenazas que explotaban el problema en masa el 3 de diciembre de 2024. La vulnerabilidad, que afecta al software LexiCom, VLTransfer y Harmony de Cleo, se refiere a un caso de ejecución remota de código no autenticado.
El agujero de seguridad es rastreado como CVE-2024-50623, y Cleo señaló que la falla es el resultado de una carga de archivos sin restricciones que podría allanar el camino para la ejecución de código arbitrario.
Desde entonces, la empresa con sede en Illinois, que cuenta con más de 4.200 clientes en todo el mundo, emitido otro aviso (CVE pendiente), que advierte sobre una «vulnerabilidad de hosts maliciosos no autenticados que podría conducir a la ejecución remota de código».
El desarrollo se produce después de que Huntress dijera que los parches lanzados para CVE-2024-50623 no mitigan por completo la falla de software subyacente. El problema afecta a los siguientes productos y se espera que se solucione a finales de esta semana:
- Cleo Harmony (hasta la versión 5.8.0.23)
- Cleo VLTrader (hasta la versión 5.8.0.23)
- Cleo LexiCom (hasta la versión 5.8.0.23)
En los ataques detectados por la empresa de ciberseguridad, se descubrió que la vulnerabilidad se explota para eliminar varios archivos, incluido un archivo XML que está configurado para ejecutar un comando PowerShell integrado que es responsable de recuperar un archivo Java Archive (JAR) de siguiente etapa de un servidor remoto.
Específicamente, las intrusiones aprovechan los archivos de datos ubicados en el subdirectorio «autorun» dentro de la carpeta de instalación y el software susceptible los lee, interpreta y evalúa inmediatamente.
Al menos 10 empresas vieron comprometidos sus servidores Cleo, y se observó un aumento en la explotación el 8 de diciembre de 2024, alrededor de las 7 a. m. UTC. La evidencia recopilada hasta ahora sitúa la fecha más temprana de exploración en el 3 de diciembre de 2024.
Las organizaciones de víctimas abarcan empresas de productos de consumo, organizaciones de logística y envío y proveedores de alimentos. Se recomienda a los usuarios que se aseguren de que su software esté actualizado para garantizar que estén protegidos contra la amenaza.
Los grupos de ransomware como Cl0p (también conocido como Lace Tempest) tienen previamente fijar sus miras en varios herramientas de transferencia de archivos administradas en el pasado, y parece que la última actividad de ataque no es diferente.
Según el investigador de seguridad Kevin Beaumont (también conocido como GossiTheDog), «Los operadores del grupo de ransomware Termite (y tal vez otros grupos) tienen un exploit de día cero para Cleo LexiCom, VLTransfer y Harmony».
Empresa de ciberseguridad Rapid7 dicho también ha confirmado la explotación exitosa del problema Cleo en los entornos de los clientes. Vale la pena señalar que las termitas tienen reivindicó la responsabilidad por el reciente ciberataque a la empresa de cadena de suministro Blue Yonder.
Equipo de cazadores de amenazas Symantec de Broadcom dijo The Hacker News que «Termite parece estar usando una versión modificada de polvo ransomware, que, cuando se ejecuta en una máquina, cifra los archivos específicos y agrega una extensión .termite».
«Desde que vimos que Blue Yonder tenía una instancia del software de Cleo abierta a Internet a través de Shodan, y Termite ha reclamado a Blue Yonder entre sus víctimas, lo cual también fue confirmado por su lista y directorio abierto de archivos, diría que Gossi es correcto en su declaración», dijo a la publicación Jamie Levy, Director de Tácticas Adversarias de Huntress.
«Por si sirve de algo, ha habido algunos rumores de que Termite podría ser el nuevo Cl0p, hay algunos datos que parecen respaldar esto ya que las actividades de Cl0p han disminuido mientras que las actividades de Termite han aumentado. También están operando de manera similar. Realmente no estamos en el juego de la atribución, pero no sería sorprendente en absoluto si estemos viendo un cambio en estas bandas de ransomware en este momento».
(Esta es una historia en desarrollo. Vuelva a consultar para obtener más actualizaciones).
