Vulnerabilidad en Cleo aprovechada por ransomware
Se ha detectado una nueva vulnerabilidad en software de transferencia de archivos como Cleo Harmony, VLTrader y LexiCom.
Esta vulnerabilidad ha sido identificada como CVE-2024-50623, con un puntaje CVSS de 8.8. Existe debido a la falta de restricciones en la carga y descarga de archivos, lo que podría permitir la ejecución remota de código.
La vulnerabilidad ha ganado relevancia porque estos programas son ampliamente utilizados por empresas en todo el mundo, lo que implica un alcance de afectación muy amplio. Además, la CISA ha añadido esta CVE a su catálogo de vulnerabilidades explotadas conocidas, lo que ha incrementado la atención sobre el problema.
La explotación ocurre mediante la carga de un archivo arbitrario con contenido malicioso. Este archivo introduce un autorun malicioso que es ejecutado automáticamente por Cleo al importar un archivo .xml y ejecutar PowerShell. Finalmente, el proceso se conecta a un servidor remoto para descargar un archivo JAR y otros archivos adicionales.
Diagrama del proceso de explotación
Al principio, solo se sabía que la vulnerabilidad estaba siendo aprovechada por actores maliciosos. Sin embargo, investigaciones más detalladas determinaron que estaba siendo utilizada por grupos de ransomware. Inicialmente, se apuntaba al grupo Termite como el responsable, pero posteriormente se confirmó que el grupo de ransomware Cl0p era quien aprovechaba esta vulnerabilidad. Esta conclusión se basó en un anuncio publicado en su página de filtraciones, además de una entrevista realizada por Bleeping Computer.
El grupo Cl0p ya ha explotado vulnerabilidades similares en el pasado, como ocurrió con una vulnerabilidad importante del software MOVEit, que afectó a numerosas empresas.
Imagen del sitio de filtraciones de CL0P [2]
Indicadores de Compromiso:
| Ioc | Tipo |
| 176.123.5.126 | IP |
| 5.149.249.226 | IP |
| 185.181.230.103 | IP |
| 209.127.12.38 | IP |
| 181.214.147.164 | IP |
| 192.119.99.42 | IP |
| 60282967-dc91-40ef-a34c-38e992509c2c.xml | Archivo xml |
| healthchecktemplate.txt | Archivo txt |
| healthcheck.txt | Archivo txt |
Versiones Afectadas
- Cleo Harmony anterior a la versión 5.8.0.21
- Cleo VLTrader anterior a la versión 5.8.0.21
- Cleo LexiCom anterior a la versión 5.8.0.21
Recomendaciones
- Actualizar la versión de Cleo Harmony, CleoVLTrader y Cleo LexiCom a la versión 5.8.0.21
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Gatlan. S (2024. Diciembre 13) CISA confirms critical Cleo bug exploitation in ransomware attacks. Recuperado el 17 de diciembre del 2024 en: https://www.bleepingcomputer.com/news/security/cisa-confirms-critical-cleo-bug-exploitation-in-ransomware-attacks/
- Abrams, L.. (2024, Diciembre 15 Clop ransomware claims responsibility for Cleo data theft attacks. Recuperado el 17 de diciembre del 2024 en: https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-cleo-data-theft-attacks/
- CLEO (2024, Diciembre 10.) Cleo Product Security Advisory - CVE-2024-50623 Recuperado el 17 de diciembre del 2024 en: https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623
