Eine aktive Ransomware-Kampagne gegen das Managed-File-Transfer-Tool Cleo steht kurz davor, sich zu verstärken, nachdem ein Proof-of-Concept-Exploit für eine Zero-Day-Schwachstelle in der Software öffentlich zugänglich geworden ist. Verteidiger sollten sich auf eine weit verbreitete Nutzung der Cleopatra-Backdoor und anderer Schritte in der Angriffskette einstellen.
Die Schwachstelle, die das Ergebnis eines unzureichenden Patches für einen beliebigen Dateischreibvorgang ist, der als CVE-2024-50623 verfolgt wird, wird für die Remote-Code-Ausführung (RCE) genutzt und wirkt sich auf die Produkte Cleo Harmony, Cleo VLTrader und Cleo LexiCon aus, so die Sicherheitshinweis des Unternehmens. Das neue Problem hat zum Zeitpunkt der Erstellung dieses Artikels noch keinen CVE- oder CVSS-Schweregrad.
Aktiv Angriffe gegen die Zero-Day Die Angriffe begannen offenbar am 3. Dezember, und nur wenige Tage später hatten Cyberangreifer mindestens 10 Cleo-Kunden angegriffen, darunter solche aus der Speditions-, Versand- und Lebensmittelbranche. Cleo hat derzeit mehr als 4.000 Kunden, meist mittelständische Unternehmen.
Die aktuelle Ransomware-Kampagne wird einer Gruppe namens "Termite" zugeschrieben, die vermutlich auch mit ähnlichen Cyberangriffen auf Blaue Ferne die sich letztlich auf bekannte Markennamen wie Starbucks auswirkten.
Aber das ist nur ein Vorgeschmack auf das, was noch kommen wird, so die Analysten von Artic Wolf, die voraussagen, dass Ransomware-Cyberangriffe auf anfällige Cleo-Systeme bald eskalieren werden.
Steht eine Flut von Cyberangriffen im Stil von MOVEit bevor?
Seit dem Ransomware-Erfolg von 2023 gegen MOVEiteinem ähnlichen Dateiübertragungsdienst, sind die Bedrohungsakteure auf die breiter Zugang zu sensiblen Unternehmensdaten und -systemen die diese MFT-Lösungen bieten, stellten die Forscher von Artic Wolf fest.
Das gilt insbesondere angesichts einer öffentlichen Beweis für die Ausnutzung des Cleo-Zero-Day die am 11. Dezember von Watchtowr Labs veröffentlicht wurde, sagten die Forscher voraus. Wie MOVEit hat auch Cleo das Potenzial, Angreifern einen Weg für Massenangriffe zu bieten.
Und leider war das Patchen dieses Zero-Day für die betroffenen Cleo-Kunden etwas verwirrend, die Tür für Angreifer zu öffnen.
Der ursprüngliche Fehler, CVE-2024-50623, wurde erstmals am 30. Oktober in der aktualisierten Cleo-Version 5.8.0.21 "behoben". Dennoch meldeten Kunden weiterhin Sicherheitslücken, was "auf die Existenz einer separaten Kompromittierungsmöglichkeit hindeutet", so ein neuer Hintergrundbericht von Rapid7 über den Cleo-Zero-Day.
Die Forscher von Huntress berichteten erstmals am 9. Dezember über weiterhin weit verbreitete aktive Angriffe auf die vermeintlich gepatchte Sicherheitslücke. Cleo reagierte daraufhin mit einer neuen Version, die einen neuen Sicherheitspatch enthält (Version 5.8.0.24). Die neue ausnutzbare Schwachstelle hat jedoch noch keine neue CVE-Bezeichnung erhalten, was bei Branchenbeobachtern wie Rapid7 Fragen aufwirft.
"Cleo hat am 10. Dezember einen neuen Hinweis herausgegeben, der besagt, dass Versionen bis 5.8.0.21 anfällig für eine noch nicht zugewiesene CVE sind", so ein Rapid7-Blogbeitrag vermerkt. "Dieser Hinweis wurde aktualisiert, um darauf hinzuweisen, dass jetzt ein Patch für alle betroffenen Produkte verfügbar ist - es ist unklar, wann genau die Aktualisierung erfolgte. Es gibt immer noch keine CVE für das neue Problem."
Cleo hat inzwischen einen Hinweis auf seine Beratungsseite zu dem unzureichenden Patching-Problem, dass ein "CVE anhängig ist".
Cleopatra Hintertür: Wie man erkennt, ob Cleo kompromittiert wurde
Angesichts des zusätzlichen Patching-Wirrwarrs liegt es an den Cyber-Abwehrteams zu verstehen, wie eine Cleo-Kompromittierung aussieht, und sie zu stoppen, bevor sie sich durchsetzt.
Das Team von Artic Wolf hat die Angriffskette bis zu einem bösartigen PowerShell-Stager zurückverfolgt, der letztendlich eine neue Java-basierte Backdoor ausführt, die das Team passenderweise "Cleopatra" genannt hat.
"Die Cleopatra-Backdoor unterstützt die In-Memory-Dateispeicherung und ist für die plattformübergreifende Unterstützung von Windows und Linux konzipiert. Sie implementiert Funktionen, die speziell für den Zugriff auf die in der Cleo MFT-Software gespeicherten Daten entwickelt wurden", heißt es im Bericht von Artic Wolf. "Obwohl viele IP-Adressen als C2-Ziele verwendet wurden, ging das Scannen der Schwachstellen nur von zwei IP-Adressen aus.
Die Forscher von Arctic Wolf raten Verteidigern, sich auf die Überwachung von Server-Assets auf ungewöhnliche Aktivitäten wie PowerShell zu konzentrieren, um frühzeitig in der Angriffskette zu reagieren.
"Darüber hinaus sollten Geräte kontinuierlich auf potenzielle Schwachstellen in internetfähigen Diensten überprüft werden, und anfällige Dienste sollten nach Möglichkeit vom öffentlichen Internet ferngehalten werden, um die potenzielle Gefährdung durch Massenangriffe wie diesen zu minimieren", heißt es in dem Bericht weiter. "Dies kann durch IP-Zugangskontrolllisten erreicht werden oder indem Anwendungen hinter einem VPN gehalten werden, um die potenzielle Angriffsfläche zu verringern.
