Исследователи подтвердили, что новая уязвимость нулевого дня не связана с уязвимостью, первоначально раскрытой в октябре. Известная группа вирусов-вымогателей связала себя с атаками.

Cleo выпускает CVE для активно эксплуатируемой уязвимости в программном обеспечении для передачи файлов

Techa Tungateja через Getty Images

Критическая уязвимость в передаче файлов Cleo Программному обеспечению был присвоен статус CVE через два дня после того, как компания выпустила исправление.

Уязвимость, обозначенная как CVE-2024-55956, позволяет неаутентифицированному пользователю импортировать и выполнять произвольные команды bash или PowerShell на хост-системе. Уязвимость затрагивает Cleo Harmony, VLTrader и Lexicom до версий 5.8.0.24.

Уязвимость была обнаружена после того, как исследователи Huntress определили, что исправление для уязвимости неограниченной загрузки и скачивания файлов, обозначенной как CVE-2024-50623, не обеспечивает полной защиты от атак. Эта уязвимость, первоначально раскрытая в октябре, затрагивает версии 5.8.0.21.

Исследователи безопасности говорят, что уязвимости активно эксплуатируются по крайней мере с 3 декабря, причем на них нацелен ряд компаний в потребительских товарах, пищевой промышленности, розничной торговле, грузоперевозках и других секторах.

Сообщество безопасности раскритиковало компанию за задержку с обозначением CVE и отсутствие ясности в том, какая уязвимость подвергается наибольшему риску.

«Идентификаторы CVE позволяют организациям и более широкому сообществу более эффективно отслеживать и расставлять приоритеты в отношении рисков, как и сведения об уязвимостях, которые позволяют людям понять основную причину проблем безопасности и их потенциальное влияние в рамках конкретной модели риска организации», — сказала Кейтлин Кондон, директор по анализу уязвимостей в Rapid7.

Кондон сказала, что в обществе возникла некоторая путаница относительно роли октябрьской CVE по сравнению с уязвимостью нулевого дня, раскрытой ранее в этом месяце.

«Идентификаторы CVE — это то, как большинство организаций получают информацию о каждой уникальной уязвимости и затронутом программном обеспечении», — сказал Патрик Гаррити, исследователь безопасности в VulnCheck, по электронной почте.

Недавно раскрытая уязвимость CVE-2024-55956 — это не обход исправления, а совершенно новая уязвимость с другой первопричиной и стратегией эксплуатации, сообщили исследователи Rapid7 в своем сообщении в блоге в понедельник.

«Другими словами, это совершенно новая ошибка нулевого дня, а не простой обход исправления, с разными последствиями для рабочих процессов атаки, несмотря на то, что она происходит в той же области продукта Cleo, что и CVE-2024-50623, и использует ту же конечную точку», — сказал Кондон Cybersecurity Dive.

По словам Стивена Фьюэра, главного исследователя безопасности в Rapid7, на основании индикаторов компрометации, опубликованных Cleo, CVE-2024-50623 использовалась для удаленного выполнения кода посредством внедрения шаблона на стороне сервера.

«Мы считаем, что эта стратегия требовала учетных данных, поэтому злоумышленник мог использовать CVE-2024-50623, чтобы также получить учетные данные, поскольку это уязвимость как чтения, так и записи файлов», — сказал Фьюэр.

Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-50623 в свой каталог известных эксплуатируемых уязвимостей в пятницу и отметило, что она использовалась в атаках с целью вымогательства.

По словам одного чиновника, CISA отслеживает активность угроз и призывает клиентов Cleo активно обновлять свои системы. Агентство также призывает клиентов активно отслеживать программное обеспечение и оборудование с истекшим сроком службы и поддержкой и заменять их при необходимости.

В воскресенье Shadowserver сообщил о 930 уязвимых случаях CVE-2024-50623, около 720 из которых были выявлены в США.

Clop, финансово мотивированная группа угроз, связанная с серией атак MOVEit, опубликовала загадочное заявление через сайт утечки данных, в котором говорится, что она удалит ссылки на данные всех компаний и навсегда удалит данные со всех серверов.

Исследователи Huntress подтвердили, что заявление было опубликовано через сайт утечки данных Clop.