Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die Sicherheitslücke CVE-2024-50623 (CVSS-Score 8.8), die mehrere Cleo-Produkte betrifft, in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen.
"Cleo hat eine Schwachstelle im uneingeschränkten Datei-Upload und -Download (CVE-2024-50623) identifiziert, die zu Remotecodeausführung führen kann", heißt es in dem Advisory. "Cleo rät allen Kunden dringend, die Instanzen von Harmony, VLTrader und LexiCom sofort auf den neuesten veröffentlichten Patch (Version 5.8.0.21) zu aktualisieren, um zusätzliche entdeckte potenzielle Angriffsvektoren der Schwachstelle zu beheben."
Die Sicherheitslücke betrifft die folgenden Produkte: LexiCom vor Version 5.8.0.21, Harmony vor Version 5.8.0.21 und VLTrader vor Version 5.8.0.21.
Am 9. Dezember kursierten in der Cybersecurity-Community Berichte über aktive Angriffe auf die Dateiübertragungssoftware Cleo. Das Sicherheitsunternehmen Huntress gab öffentlich bekannt, dass derzeit drei verschiedene Cleo-Produkte ausgenutzt werden.
"Am 3. Dezember hat Huntress eine neue Bedrohung identifiziert, die die Software LexiCom, VLTransfer und Harmony von Cleo betrifft, die üblicherweise zur Verwaltung von Dateiübertragungen verwendet wird", heißt es in der Beitrag veröffentlicht von Huntress. "Wir haben direkt beobachtet, dass Bedrohungsakteure diese Software massenhaft ausnutzen und Aktivitäten nach der Ausnutzung durchführen.
Die Forscher von Huntress erstellten einen Proof of Concept und stellten fest, dass der Patch die Software-Schwachstelle nicht entschärft. Die Experten warnten, dass vollständig gepatchte Systeme mit 5.8.0.21 immer noch ausnutzbar sind.
Caleb Stewart, ein leitender Sicherheitsforscher, hat ein Python-Skript entwickelt, das eine Schwachstelle beim Schreiben beliebiger Dateien ausnutzt. Dieses Skript platzierte erfolgreich Dateien in der Autoruns Unterverzeichnis, um die Ausführungsfähigkeit zu demonstrieren. Die Methode wurde sowohl mit der LexiCom- als auch mit der VLTrader-Software in den Versionen 5.8.0.0 und 5.8.0.21 getestet und bestätigte die Wirksamkeit des Exploits.
Caleb Stewart, ein leitender Sicherheitsforscher, hat ein Python-Skript entwickelt, das eine Schwachstelle beim Schreiben beliebiger Dateien ausnutzt. Dieses Skript platzierte erfolgreich Dateien in der Autoruns Unterverzeichnis, um die Ausführungsfähigkeit zu demonstrieren. Die Forscher testeten den PoC sowohl mit der LexiCom- als auch mit der VLTrader-Software, und zwar mit den Versionen 5.8.0.0 und der gepatchten Version 5.8.0.21, und bestätigten die Wirksamkeit des Exploits.
Huntress-Forscher haben Indikatoren für Angriffe, die diese Schwachstelle ausnutzen, veröffentlicht (Indicators of Compromise, IOCs).
Gemäß Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities (Verringerung des erheblichen Risikos bekannter ausgenutzter Schwachstellen) müssen die FCEB-Behörden die identifizierten Schwachstellen bis zum Stichtag beheben, um ihre Netzwerke vor Angriffen zu schützen, die die Schwachstellen im Katalog ausnutzen.
Experten empfehlen auch privaten Organisationen, den Katalog zu überprüfen und die Schwachstellen in ihrer Infrastruktur zu beseitigen.
Das CISA verpflichtet die Bundesbehörden, diese Schwachstelle bis zum 3. Januar 2025 zu beheben.
