Een actieve ransomware-campagne tegen de Cleo managed file transfer tool staat op het punt om op gang te komen nu een proof-of-concept-exploit voor een zero-day-fout in de software openbaar beschikbaar is geworden. Verdedigers moeten zich schrap zetten voor de wijdverspreide inzet van de Cleopatra-backdoor en andere stappen in de aanvalsketen.
Het gebrek, dat het resultaat is van een ontoereikende patch voor een willekeurige bestandsschrijfbewerking die wordt bijgehouden als CVE-2024-50623, wordt gebruikt voor uitvoering van externe code (RCE) en heeft invloed op de producten Cleo Harmony, Cleo VLTrader en Cleo LexiCon, aldus de beveiligingsadvies van het bedrijfHet nieuwe probleem heeft op het moment van schrijven nog geen CVE- of CVSS-ernstscore.
Actief aanvallen op de zero-day lijken te zijn begonnen op 3 december, en slechts enkele dagen later hadden cyberaanvallers minstens 10 Cleo-klanten gehackt, waaronder die in de transport-, scheepvaart- en voedingsindustrie. Cleo heeft momenteel meer dan 4,000 klanten, voornamelijk middelgrote organisaties.
De huidige ransomware-campagne wordt toegeschreven aan een groep genaamd “Termite”, waarvan ook wordt aangenomen dat deze in verband staat met soortgelijke cyberaanvallen op Blauw daarginds wat uiteindelijk gevolgen had voor bekende merken als Starbucks.
Maar dat is nog maar een voorproefje van wat ons te wachten staat, zeggen analisten van Artic Wolf. Zij voorspellen dat cyberaanvallen met ransomware op kwetsbare Cleo-systemen alleen maar zullen toenemen.
Is er een stortvloed aan cyberaanvallen in de stijl van MOVEit op komst?
Sinds het succes van ransomware tegen 2023 Verplaats het, een soortgelijke bestandsoverdrachtsservice, zijn dreigingsactoren zich er terdege van bewust geworden brede toegang tot gevoelige bedrijfsgegevens en -systemen onderzoekers van Arctic Wolf merkten op dat deze MFT-oplossingen de volgende voordelen bieden:
Dat geldt vooral in het licht van een openbare bewijs van exploit van de Cleo zero-day gepubliceerd op 11 dec. door Watchtowr Labs, voorspelden de onderzoekers. Net als MOVEit heeft Cleo het potentieel om aanvallers een massale aanvalsroute te bieden.
En helaas voor degenen die er last van hebben, is het patchen van deze zero-day een beetje verwarrend geweest voor Cleo-klanten, de deur voor aanvallers om toe te slaan vergroten.
De oorspronkelijke bug, CVE-2024-50623, werd voor het eerst "opgelost" in de release van 30 oktober van een bijgewerkte Cleo-versie, 5.8.0.21. Klanten bleven echter inbreuken melden, "wat suggereert dat er een apart middel is om inbreuken te plegen", legde een nieuwe achtergrondinformatie van Rapid7 over de Cleo zero-day uit.
Onderzoekers bij Huntress meldden voor het eerst op 9 december over voortdurende wijdverbreide actieve exploits van de zogenaamd gepatchte kwetsbaarheid. Cleo reageerde met een nieuwe versie met een nieuwe beveiligingspatch (versie 5.8.0.24). Het nieuwe exploiteerbare probleem heeft echter nog geen nieuwe CVE-aanduiding gekregen, wat vragen opriep bij branchewatchers zoals Rapid7.
“Cleo heeft op 10 december een nieuw advies uitgegeven waarin eerder werd gezegd dat versies tot en met 5.8.0.21 kwetsbaar waren voor een nog niet toegewezen CVE”, aldus een Rapid7 blogpost opgemerkt. "Die waarschuwing is bijgewerkt om aan te geven dat er nu een patch beschikbaar is voor alle getroffen producten — het is onduidelijk wanneer de update precies heeft plaatsgevonden. Er is nog steeds geen CVE voor het nieuwe probleem."
Cleo heeft inmiddels een notitie toegevoegd aan zijn adviespagina over het probleem van onvoldoende patches, dat er een “CVE in behandeling is.”
Cleopatra Backdoor: Hoe weet je of Cleo is gecompromitteerd?
Nu er zoveel verwarring is over patches, is het aan cyberverdedigingsteams om te begrijpen hoe een Cleo-compromis eruitziet en dit te stoppen voordat het zich kan voordoen.
Het Arctic Wolf-team heeft de aanvalsketen kunnen herleiden tot een kwaadaardige PowerShell-stager die uiteindelijk een nieuwe Java-gebaseerde backdoor uitvoert die hun team toepasselijk 'Cleopatra' heeft genoemd.
"De Cleopatra backdoor ondersteunt in-memory file storage en is ontworpen voor cross-platform support op Windows en Linux. Het implementeert functionaliteit die specifiek is ontworpen om toegang te krijgen tot gegevens die zijn opgeslagen in Cleo MFT-software", aldus het rapport van Artic Wolf. "Hoewel veel IP-adressen werden gebruikt als C2-bestemmingen, was de vulnerability scanning afkomstig van slechts twee IP-adressen."
De onderzoekers van Arctic Wolf dringen er bij verdedigers op aan om zich te richten op het monitoren van serveractiva op ongebruikelijke activiteiten, zoals PowerShell, om zo vroeg in de aanvalsketen te kunnen reageren.
"Daarnaast moeten apparaten continu worden gecontroleerd op mogelijke zwakheden in internettoegankelijke services, en kwetsbare services moeten waar mogelijk van het openbare internet worden gehouden om de potentiële blootstelling aan massale exploitatiecampagnes zoals deze te minimaliseren", voegde het rapport toe. "Dit kan worden bereikt door IP-toegangscontrolelijsten, of door applicaties achter een VPN te houden om het potentiële aanvalsoppervlak te verkleinen."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/cleo-mft-zero-day-exploits-escalate-analysts-warn