Cleo修复严重的0day漏洞

10月，Cleo 修复了位于其文件传输管理软件中的一个预认证远程代码执行漏洞（CVE-2024-50623），并建议“所有客户立即升级”。

Huntress 公司的安全研究员在12月3日率先发现了该针对完全打补丁的 Cleo 软件的攻击活动。12月8日，该攻击数量激增，原因是攻击者迅速发现了CVE-2024-50623的一个绕过（尚无CVE编号）可使他们通过利用默认 Autorun 文件夹设置的方式，导入并执行任意bash 或 PowerShell 命令。

网络安全专家 Kevin Beaumont 提到，该0day漏洞目前正遭Termite 勒索团伙的利用。而该团伙正是近期声称攻陷软件即服务 (SaaS) 提供商 Blue Yonder 的威胁组织。

Huntress 公司在本周一提醒称，“该漏洞正在遭在野活跃利用，运行5.8.0.21的完全打补丁的系统仍然可遭利用。我们强烈建议您在新补丁发布前，通过防火墙保护任何暴露到互联网的 Cleo 系统。”

从Shodan 搜索结果来看，全球共有421个暴露在互联网的Cleo 服务器，其中327台位于美国。Macnica 公司的威胁研究员 Yutaka Sejiyama 也发现可从网络访问743台Cleo 服务器（379台运行 Harmony 软件，124台运行 VLTrader 以及240台运行 LexiCom）。

发布补丁，拦截恶意攻击

今天，Cleo 公司发布补丁以阻止正在进行的攻击活动，并督促客户尽快升级至5.8.0.24，保护暴露在互联网中的易受攻击的服务器。

该公司提到，“Cleo 强烈建议所有客户立即将 Harmony、VLTrader 和 LexiCom 的实例更新至最新发布版本5.8.0.24，修复其它的已发现的潜在攻击向量。应用补丁后，在启动阶段，任何与该exp相关的文件都会有出错日志，所有这些文件都会被删除。”Cleo 公司建议无法立即更新的客户在系统选项处禁用自动运行特性，并清空自动运行目录（虽然这样做无法阻止攻击但会减小攻击面）。

Rapid7 公司在调查时发现，威胁行动者利用该漏洞部署编码的 Java Archive (JAR) payload，而它是更大的基于Java的利用后框架的一部分。Huntress 公司也分析了该恶意软件（被命名为Malichus）指出，它仅被部署在Windows 设备上，不过它具有 Linux 系统支持能力。Binary Defense ARC Labs 报道称，恶意软件操纵者可利用Malichus 进行文件传输、命令执行以及网络通信。

截止目前，Huntress 公司发现至少有10家公司的 Cleo 服务器遭攻陷，并表示还存在其它潜在受害者。Sophos 公司也从50多个 Cleo 主机上发现了攻陷指标。Sophos 公司提到，“所有观测到的受影响客户都在北美地区拥有分支机构或在该地区运营，其中主要是美国。我们发现多数受影响客户是零售组织机构。”这些攻击与近年来利用MOVEit Transfer、GoAnywehre MFT 和 Accellion FTA中0day漏洞盗取数据的Clop组织的做法非常类似。