Cybersicherheitsexperten haben eine kritische Schwachstelle in der weitverbreiteten Cleo File Transfer Software aufgedeckt, die mehr als 4.000 Organisationen weltweit betrifft. Die als CVE-2024-50623 klassifizierte Sicherheitslücke ermöglicht Angreifern die unkontrollierte Manipulation von Dateien und die Ausführung beliebigen Codes auf betroffenen Systemen.
Technische Details der Sicherheitslücke
Die Schwachstelle betrifft die populären Cleo-Produkte LexiCom, VLTrader und Harmony in Versionen 5.8.0.21 und älter. Besonders besorgniserregend ist, dass die aktuelle Angriffswelle einen Bypass des im Oktober 2024 veröffentlichten Sicherheitspatches darstellt. Die Verwundbarkeit ermöglicht Angreifern die Ausführung von Remote Code Execution (RCE) Angriffen durch manipulierte Dateioperationen.
Anatomie der Angriffe
Sicherheitsforscher von Huntress haben dokumentiert, wie Angreifer speziell präparierte Dateien namens healthchecktemplate.txt oder healthcheck.txt im Autorun-Verzeichnis platzieren. Diese Dateien triggern das Laden bösartiger XML-Konfigurationen, die PowerShell-Befehle zur Installation von Backdoors und zum Datendiebstahl enthalten.
Erkennungsmerkmale kompromittierter Systeme
Zu den wichtigsten Indikatoren einer erfolgreichen Kompromittierung gehören:
– Verdächtige TXT- und XML-Dateien in den Verzeichnissen C:\LexiCom, C:\VLTrader und C:\Harmony
– Präsenz von Cleo####.jar Dateien
– Auffällige PowerShell-Aktivitäten in Systemprotokollen
– Unerwartete Verbindungen zu externen IP-Adressen
Empfohlene Sicherheitsmaßnahmen
Zur Risikominimierung sollten Unternehmen folgende Schritte prioritär umsetzen:
– Sofortige Isolation betroffener Cleo-Systeme durch Firewall-Regeln
– Strikte Limitierung des externen Zugriffs auf File-Transfer-Server
– Durchführung forensischer Untersuchungen nach Kompromittierungsindikatoren
– Deaktivierung der Autorun-Funktionalität
– Implementierung kontinuierlichen Monitorings der Cleo Security Advisories
Die Situation erfordert unmittelbares Handeln seitens betroffener Organisationen, da die aktuelle Sicherheitslücke trotz des initialen Patches weiterhin ausnutzbar bleibt. Während Cleo an einem umfassenden Sicherheitsupdate arbeitet, müssen Unternehmen die empfohlenen Schutzmaßnahmen rigoros umsetzen und ihre Systeme engmaschig überwachen. Die weite Verbreitung der Software im Enterprise-Bereich macht diese Schwachstelle zu einem hochkritischen Sicherheitsrisiko, das unmittelbare Aufmerksamkeit erfordert.
