Cleo Harmony、VLTrader、LexiCom代码执行漏洞CVE-2024-50623
Cleo 是一家总部位于美国伊利诺伊州的公司,公司成立于2015年,企业软件制造商,为超过4200家组织提供供应链和B2B集成解决方案。
Cleo是人工智能“个人财务助手”,用户通过文字或语音形式与Cleo聊天机器人互动,实时查询银行账户和信用卡情况并制定个人财务计划。
Cleo公司主要从事个人财务管理的人工智能聊天机器人(Chatbot)研发,其文件传输产品被广泛应用于金融、医疗、制造等中大型企业。
一、基本情况
Cleo Harmony、VLTrader和LexiCom是Cleo公司的文件传输平台,广泛应用于企业内部和外部的数据交换,支撑许多业务流程高效运行。
Cleo LexiCom、VLTransfer和Harmony用于数据传输、企业集成和电子数据交换(EDI)等任务,企业间的文件交换、供应链管理等领域。
Cleo Harmony、VLTrader和LexiCom用于企业与商业伙伴间安全交换文件,广泛用于企业内部和外部数据交换,支撑业务流程高效运行。
栋科技漏洞库关注到Cleo近期发布安全更新,修复LexiCom、VLTransfer 和 Harmony 中的一个0day漏洞,漏洞追踪为CVE-2024-50623。
二、漏洞分析
CVE-2024-50623漏洞是Cleo LexiCom、VLTransfer和Harmony产品中存在一个远程代码执行漏洞,且为0day漏洞,漏洞CVSS评分8.8。
该漏洞是Cleo LexiCom、VLTransfer 和 Harmony软件存在不受限制的文件上传和下载漏洞,漏洞利用细节及PoC已公开且已发现被利用。
攻击者可能利用该漏洞上传恶意文件并可能利用系统访问/下载功能或其他机制触发恶意文件执行,成功利用漏洞可能导致远程代码执行。
需要注意的是,Cleo LexiCom、VLTransfer 和 Harmony软件5.8.0.24之前版本中还存在另一个远程代码执行0 day漏洞(暂无CVE-ID)。
该漏洞为CVE-2024-50623的一个绕过,攻击者可能会通过利用默认的Autorun文件夹的设置,并导入和执行任意bash或PowerShell命令。
Huntress公司的安全研究人员在2024年12月03日时率先发现针对该完全打补丁的 Cleo 软件的攻击活动,12月08日时,该攻击数量激增。
原因在于CVE-2024-50623和其绕过漏洞利用细节及PoC均公开,安全专家Kevin Beaumont称该0day漏洞目前正被Termite勒索团伙利用。
该团伙正是近期声称攻陷软件即服务 (SaaS) 提供商 Blue Yonder 的威胁组织,因此Huntress强烈建议受影响用户及时更新版本修复漏洞。
有着“暗黑谷歌”之称的Shodan搜索引擎的搜索结果显示,全球共有421个暴露在互联网的Cleo 服务器,而这其中有327台服务器位于美国。
研究人员Yutaka Sejiyama发现可从网络访问743台Cleo 服务器(379台运行 Harmony 软件,124台运行VLTrader及240台运行LexiCom)。
Rapid7 公司调查发现,威胁行动者利用该漏洞部署编码的 Java Archive(JAR)payload,而它是更大的基于Java的利用后框架的一部分。
Huntress 公司分析了这款恶意软件(被命名为Malichus)后指出,尽管其仅被部署在Windows 设备上,不过它具有 Linux 系统支持能力。
Binary Defense ARC Labs 公司的报道指出,恶意软件操纵者可以通过利用 Malichus 恶意软件进行文件传输、命令执行及网络通信行为。
截止目前,Huntress 公司发现至少有10家公司的 Cleo 服务器已经被黑客组织遭攻陷,并该安全公司还表示,目前仍存在其它潜在受害者。
Sophos公司从50多个Cleo主机上发现攻陷指标,所有观测到的受影响客户都在北美地区拥有分支机构或在该地区运营,其中主要是美国。
受影响客户多为零售组织机构,行为与利用MOVEit Transfer、GoAnywehre MFT 和 Accellion FTA中0day漏洞盗取数据的Clop做法类似。
三、影响范围
Cleo Harmony < 5.8.0.24
Cleo VLTrader < 5.8.0.24
Cleo LexiCom < 5.8.0.24
四、修复建议
目前这些漏洞已经修复,受影响用户可升级到以下版本:
Cleo Harmony >= 5.8.0.24
Cleo VLTrader >= 5.8.0.24
Cleo LexiCom >= 5.8.0.24
五、参考链接
此处内容已隐藏,评论后刷新即可查看!