Cleo: Patch per risolvere lo zero-day sfruttato da ransomware

Cleo zero-day Rasomware

Cleo: Patch per risolvere lo zero-day sfruttato da ransomware

Cleo: Patch per risolvere lo zero-day sfruttato da ransomware

Zero-day sfruttato da ransomware

Cleo ha rilasciato un aggiornamento di sicurezza per affrontare una vulnerabilità critica sfruttata come zero-day. Questo exploit ha consentito ad attaccanti di compromettere le istanze Cleo Harmony, VLTrader e LexiCom esposte su Internet, stabilendo una reverse shell per operazioni di ricognizione e ulteriori attacchi.

La nuova versione 5.8.0.24, pubblicata mercoledì, risolve la falla che permetteva l’accesso non autorizzato alle installazioni vulnerabili. Secondo il ricercatore di Huntress, John Hammond, la patch si è dimostrata efficace nel bloccare l’exploit proof-of-concept ricreato sulla base degli attacchi osservati.

Confusione sui dettagli della vulnerabilità
Inizialmente, gli esperti ritenevano che gli attaccanti stessero sfruttando CVE-2024-50623, una vulnerabilità di caricamento e download di file senza restrizioni. Tuttavia, Cleo ha chiarito che la falla sfruttata di recente potrebbe essere un problema separato, portando alla creazione di un nuovo CVE.

“Sebbene Cleo stia lavorando attivamente a una nuova patch e alla designazione di un nuovo CVE, al momento solo l’azienda può confermare con certezza se si tratti di due vulnerabilità distinte,” ha dichiarato Hammond.

Flusso di attacco e dettagli sul malware
Le analisi hanno evidenziato che l’attacco segue una struttura multi-fase, sfruttando un malware soprannominato Malichus:

  1. Connessione iniziale: Gli attaccanti stabiliscono una reverse shell e raccolgono informazioni sul sistema compromesso.
  2. Download dei payload: Il malware scarica componenti modulari per estendere le capacità di attacco.
  3. Fase finale: Un framework post-exploitation basato su Java consente agli aggressori di:
    • Leggere, raccogliere e trasferire file.
    • Accedere ai file di configurazione di Cleo per ottenere informazioni sensibili sull’installazione.
    • Eseguire operazioni di lettura/scrittura sul file system.

Cleo zero-day

Huntress ha osservato l’utilizzo di questo framework solo su sistemi Windows, sebbene sia compatibile anche con Linux.

Obiettivi e impatti
Secondo Sophos X-Ops, gli attacchi hanno colpito oltre 50 host univoci, prevalentemente appartenenti a organizzazioni del settore retail in Nord America. Durante le analisi, sono state osservate le seguenti azioni:

  • Raccolta dati di sistema: Informazioni su utenti, gruppi e relazioni di trust.
  • Attacco overpass-the-hash: Per ottenere ticket Kerberos e accedere a risorse di rete aggiuntive.

Misure di mitigazione
Cleo consiglia alle organizzazioni di:

  1. Applicare immediatamente la patch.
  2. Disabilitare la funzionalità Autorun, che può ridurre il rischio di sfruttamento.
  3. Limitare l’accesso alle istanze Cleo, ad esempio tramite firewall o whitelist di IP autorizzati.

È altrettanto importante verificare se i sistemi siano stati compromessi. Cleo, insieme a Huntress e Rapid7, ha fornito indicatori di compromissione e strumenti per individuare file dannosi e isolare gli host compromessi.

In caso di violazione, le aziende devono espandere le indagini a tutta la rete per valutare eventuali ulteriori compromissioni.

Termite e gli attacchi ransomware
Il gruppo ransomware Termite è tra i principali sospettati. Questo gruppo è noto per attacchi precedenti, incluso quello contro Blue Yonder, in cui si dice abbiano sfruttato un’istanza di Cleo connessa a Internet. Tuttavia, non è ancora confermato se Termite o altri gruppi siano dietro questa ondata di attacchi.

Conclusioni
La rapida risposta di Cleo con una patch risolutiva è un passo cruciale per contenere i danni. Tuttavia, l’incertezza sull’origine degli attacchi e sulle vulnerabilità coinvolte sottolinea la necessità per le organizzazioni di mantenere elevati standard di sicurezza, aggiornare tempestivamente i sistemi e implementare misure di mitigazione per proteggere le proprie infrastrutture critiche.


Translate »
error: Il contenuto è protetto!!
Open chat
Salve,
possiamo aiutarti?