Una campaña de ransomware activa contra la herramienta de transferencia de archivos administrada Cleo está a punto de intensificarse ahora que se ha hecho pública una prueba de concepto de explotación de una falla de día cero en el software. Los defensores deben prepararse para la implementación generalizada de la puerta trasera Cleopatra y otros pasos en la cadena de ataque.
La falla, que es el resultado de un parche insuficiente para una escritura de archivo arbitraria identificada como CVE-2024-50623, se está utilizando para la ejecución remota de código (RCE) y afecta a los productos Cleo Harmony, Cleo VLTrader y Cleo LexiCon, según Aviso de seguridad de la empresaAl momento de escribir este artículo, el nuevo problema aún no tenía una puntuación de gravedad CVE o CVSS.
Active Ataques contra el día cero Parece que los ataques comenzaron el 3 de diciembre y, tan solo unos días después, los ciberatacantes habían vulnerado al menos a 10 clientes de Cleo, incluidos los de los sectores del transporte por carretera, el transporte marítimo y la alimentación. Cleo cuenta actualmente con más de 4,000 clientes, en su mayoría organizaciones de tamaño medio.
La actual campaña de ransomware se ha atribuido a un grupo llamado "Termite", que también se cree que está conectado a ciberataques similares contra azul allá que finalmente afectó a marcas conocidas como Starbucks.
Pero eso es sólo una muestra de lo que está por venir, según los analistas de Artic Wolf, quienes predicen que los ciberataques de ransomware contra los sistemas vulnerables de Cleo están a punto de intensificarse.
¿Es inminente un aluvión de ciberataques al estilo MOVEit?
Desde el éxito del ransomware de 2023 contra Muévelo, un servicio de transferencia de archivos similar, los actores de amenazas se han vuelto muy conscientes de la Amplio acceso a datos y sistemas empresariales sensibles Estas soluciones MFT las proporcionan, señalaron los investigadores de Artic Wolf.
Esto es especialmente cierto a la luz de una situación pública. Prueba de explotación del día cero de Cleo Según los investigadores, publicado el 11 de diciembre por Watchtowr Labs, al igual que MOVEit, Cleo tiene el potencial de ofrecer a los atacantes una vía para realizar ataques masivos.
Y desafortunadamente para los afectados, aplicar un parche a este día cero ha sido un poco confuso para los clientes de Cleo. Ampliando la puerta para que los atacantes puedan atacar.
El error original, CVE-2024-50623, se “arregló” por primera vez en la versión actualizada de Cleo, 30, publicada el 5.8.0.21 de octubre. Sin embargo, los clientes siguieron informando de ataques, “lo que sugiere la existencia de un medio de ataque independiente”, según explica un nuevo informe de Rapid7 sobre el ataque de día cero de Cleo.
Los investigadores de Huntress informaron por primera vez sobre la continua explotación activa y generalizada de la vulnerabilidad supuestamente parcheada el 9 de diciembre. Cleo respondió con una nueva versión que contenía un nuevo parche de seguridad (versión 5.8.0.24). Sin embargo, el nuevo problema explotable aún no ha recibido una nueva designación CVE, lo que ha suscitado dudas entre los observadores de la industria como Rapid7.
“Cleo emitió un nuevo aviso a partir del 10 de diciembre que decía anteriormente que las versiones hasta 5.8.0.21 eran vulnerables a un CVE aún no asignado”, Se ha tomado nota de la publicación del blog de Rapid7“Ese aviso se actualizó para indicar que ahora hay un parche disponible para todos los productos afectados; no está claro exactamente cuándo se realizó la actualización. Todavía no hay una CVE para el nuevo problema”.
Cleo ha añadido desde entonces una nota a su página de asesoramiento sobre el problema de parches insuficientes que “hay un CVE pendiente”.
Puerta trasera de Cleopatra: cómo saber si Cleo ha sido comprometida
Con la confusión adicional que genera la aplicación de parches, los equipos de defensa cibernética deben comprender cómo se ve un ataque a Cleo y detenerlo antes de que se produzca.
El equipo de Artic Wolf rastreó la cadena de ataque hasta un staging de PowerShell malicioso que finalmente ejecuta una nueva puerta trasera basada en Java que su equipo llamó apropiadamente "Cleopatra".
“La puerta trasera Cleopatra admite el almacenamiento de archivos en memoria y está diseñada para brindar soporte multiplataforma en Windows y Linux. Implementa una funcionalidad diseñada para acceder a los datos almacenados específicamente dentro del software Cleo MFT”, explicó el informe de Artic Wolf. “Aunque se utilizaron muchas direcciones IP como destinos C2, el análisis de vulnerabilidades se originó solo en dos direcciones IP”.
Los investigadores de Arctic Wolf instan a los defensores a centrarse en monitorear los activos del servidor para detectar actividad inusual, como PowerShell, para poder responder temprano en la cadena de ataque.
“Además, los dispositivos deberían ser auditados continuamente para detectar posibles debilidades en los servicios accesibles a través de Internet, y los servicios vulnerables deberían mantenerse fuera de la red pública de Internet siempre que sea posible para minimizar la exposición potencial en campañas de explotación masiva como ésta”, añade el informe. “Esto se puede lograr mediante listas de control de acceso IP o manteniendo las aplicaciones detrás de una VPN para reducir la superficie de ataque potencial”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/cleo-mft-zero-day-exploits-escalate-analysts-warn