Специалисты по кибербезопасности выявили масштабную кампанию атак, направленную на эксплуатацию критической уязвимости в программном обеспечении Cleo для управления файловым обменом. Уязвимость затрагивает популярные продукты компании — LexiCom, VLTrader и Harmony, которыми пользуются более 4000 организаций по всему миру.
Технические детали уязвимости
Обнаруженная проблема (CVE-2024-50623) позволяет злоумышленникам осуществлять неконтролируемую загрузку и скачивание файлов, что приводит к возможности удаленного выполнения произвольного кода. Уязвимыми являются версии 5.8.0.21 и более ранние. Примечательно, что текущая атака представляет собой обход патча, выпущенного разработчиками в октябре 2024 года.
Механизм проведения атак
По данным исследователей Huntress, злоумышленники используют специально сформированные файлы healthchecktemplate.txt или healthcheck.txt, размещая их в каталоге autorun. При обработке этих файлов происходит загрузка вредоносных XML-конфигураций, содержащих PowerShell-команды для установки бэкдоров и кражи данных.
Признаки компрометации
Ключевые индикаторы атаки включают:
— Наличие подозрительных TXT и XML файлов в каталогах C:\LexiCom, C:\VLTrader и C:\Harmony
— Присутствие файлов формата Cleo####.jar
— Следы выполнения PowerShell-команд в системных логах
— Несанкционированные подключения к внешним IP-адресам
Рекомендации по защите
Эксперты рекомендуют следующие меры безопасности:
— Немедленно изолировать системы с продуктами Cleo за брандмауэром
— Ограничить внешний доступ к серверам file transfer
— Проверить системы на наличие индикаторов компрометации
— Отключить функцию автозапуска
— Регулярно мониторить бюллетень безопасности Cleo
Ситуация остается критической, учитывая широкое распространение продуктов Cleo в корпоративном сегменте и неэффективность текущего патча. Разработчики готовят новое обновление безопасности, которое должно полностью устранить уязвимость. До его выхода организациям настоятельно рекомендуется усилить мониторинг систем и применить рекомендованные меры защиты для минимизации рисков компрометации.
