Експерти з кібербезпеки виявили серйозну вразливість у популярному корпоративному програмному забезпеченні Cleo, що загрожує безпеці понад 4000 організацій по всьому світу. Критична вразливість зачіпає основні продукти компанії – LexiCom, VLTrader та Harmony, які широко використовуються для управління файловим обміном у корпоративному середовищі.
Аналіз вразливості та її наслідків
Ідентифікована вразливість (CVE-2024-50623) створює можливість для неавторизованого доступу до файлової системи та віддаленого виконання довільного коду. Проблема affects всі версії програмного забезпечення до 5.8.0.21 включно. Особливе занепокоєння викликає той факт, що поточні атаки успішно обходять захисний патч, випущений розробниками в жовтні 2024 року.
Технічні аспекти кібератак
За даними дослідницької команди Huntress, зловмисники використовують спеціально сконструйовані файли healthchecktemplate.txt або healthcheck.txt, розміщуючи їх у директорії autorun. При обробці цих файлів відбувається завантаження шкідливих XML-конфігурацій, які містять PowerShell-команди для встановлення бекдорів та експортування конфіденційних даних.
Основні індикатори компрометації
Для виявлення потенційного зараження необхідно звернути увагу на такі ознаки:
– Підозрілі TXT та XML файли в каталогах C:\LexiCom, C:\VLTrader та C:\Harmony
– Наявність файлів формату Cleo####.jar
– Аномальна активність PowerShell у системних журналах
– Нетипові мережеві з’єднання з зовнішніми IP-адресами
Стратегія захисту та превентивні заходи
Для мінімізації ризиків компрометації систем рекомендується:
– Терміново ізолювати системи з продуктами Cleo за допомогою міжмережевого екрану
– Впровадити строгі обмеження зовнішнього доступу до серверів передачі файлів
– Провести аудит систем на наявність індикаторів компрометації
– Деактивувати функціональність автозапуску
– Забезпечити постійний моніторинг оновлень безпеки від Cleo
Ситуація залишається критичною через широке поширення продуктів Cleo в корпоративному секторі та недостатню ефективність поточного патча. Розробники активно працюють над новим оновленням безпеки для повного усунення вразливості. До моменту його випуску організаціям наполегливо рекомендується посилити моніторинг систем та імплементувати всі рекомендовані захисні заходи для забезпечення безпеки корпоративних даних.
