CVE-2024-50623 Erkennung: Angreifer nutzen aktiv eine RCE-Schwachstelle in Cleo Harmony, VLTrader und LexiCom Dateiübertragungsprodukten aus
Inhaltsverzeichnis:
Hochkarätige Angriffe entstehen oft aus der Ausnutzung von RCE Schwachstellen in häufig verwendeten Softwareprodukten. Ende Oktober 2024 entdeckten Sicherheitsexperten eine kritische Schwachstelle in der FortiManager-API (CVE-2024-47575), die aktiv in Zero-Day-Angriffen ausgenutzt wurde. Mit der bevorstehenden Feiertagssaison intensivieren Gegner ihre Aktivitäten, da ein neuer Sicherheitsfehler im Bedrohungslandschaft auftritt. Verteidiger haben kürzlich die aktive Ausnutzung einer RCE-Schwachstelle in Cleo LexiCom, VLTransfer und Harmony MFT-Software identifiziert, Schlüsselanwendungen, die von vielen großen Unternehmen für den sicheren Dateiaustausch weit verbreitet verwendet werden.
Erkennung von CVE-2024-50623-Ausbeutungsversuchen
Proaktive Erkennung von Schwachstellenausnutzung bleibt einer der wichtigsten Anwendungsfälle in der Cybersicherheit aufgrund der konstanten Zunahme der erkannten Schwachstellen. Im Jahr 2024 veröffentlichten Sicherheitsexperten fast 40.000 Schwachstellen, was einen Anstieg von 41 % im Vergleich zum Vorjahr darstellt. Um neuen Bedrohungen voraus zu sein und potenzielle Angriffe rechtzeitig zu erkennen, bietet die SOC Prime-Plattform eine umfangreiche Sammlung von CTI-angereicherten Erkennungsregeln, unterstützt durch fortschrittliche Lösungen für Bedrohungserkennung und -jagd.
Drücken Sie die Erkennungen erkunden -Taste unten, um auf Sigma-Regeln zuzugreifen, die sich mit CVE-2024-50623-Ausbeutungsversuchen befassen. Alle Regeln sind dem MITRE ATT&CK-Frameworkzugeordnet, erweitert durch umfangreiche Bedrohungsinformationen, und kompatibel mit mehr als 30 SIEM-, EDR- und Data-Lake-Lösungen.
Analyse von CVE-2024-50623
Huntress hat kürzlich eine Warnung ausgegeben über eine unzureichend gepatchte Schwachstelle, CVE-2024-50623, in mehreren Cleo-Softwarelösungen. Die Forscher von watchTowr Labs stellten eine weitere eingehende Analyse bereit zur Ausnutzung von CVE-2024-50623 und wie die beliebige Datei-Schreibschwachstelle ausgenutzt wird, um durch die Autorun-Funktionalität RCE zu erreichen.
Forscher identifizierten mindestens zehn Unternehmen mit kompromittierten Cleo-Servern und beobachteten einen signifikanten Anstieg der Ausnutzungsaktivität am 8. Dezember 2024. Weitere Analysen zeigten Beweise für Ausnutzung, die bis zum 3. Dezember zurückreichen, und es ist wahrscheinlich, dass es weitere gefährdete Cleo-Server gibt, die noch entdeckt werden müssen. Die meisten kompromittierten Kunden gehören zu den Branchen Konsumgüter, Lebensmittel, Lkw-Transport und Versand. Eine Shodan-Suche zeigt, dass mehr als 100 Cleo-Produktinstanzen mit einer verwundbaren Version sind dem Internet ausgesetzt.
Cleo informierte Kunden Ende Oktober über die Behebung von CVE-2024-50623 , die RCE ermöglichen könnte und die Cleo Harmony-, VLTrader- und LexiCom-Dateiübertragungsprodukte beeinträchtigte. Der Anbieter hat eine Sicherheitsberatung für CVE-2024-50623 veröffentlicht, in der bis Version 5.8.0.21 verwundbare Produktversionen erwähnt wurden. Huntress-Forscher haben jedoch festgestellt, dass der in Version 5.8.0.21 bereitgestellte Patch unzureichend war und die Schwachstelle unbehandelt ließ. Sie bestätigten auch, dass Bedrohungsakteure CVE-2024-50623 in realen Angriffen aktiv ausgenutzt haben.
Verteidiger haben festgestellt, dass die Angreifer die Persistenz auf den kompromittierten Systemen aufrechterhalten, Aufklärung betreiben und Maßnahmen ergreifen, um unter dem Radar zu bleiben, zusammen mit anderen nicht identifizierten Aktivitäten nach der Ausnutzung.
Daher sind die gepatchten Versionen 5.8.0.21 immer noch anfällig für den in freier Wildbahn beobachteten Exploit. Der Anbieter bestätigte, dass er an einem neuen Patch arbeitet, um das Problem in Kürze zu beheben. Als potenzielle CVE-2024-50623-Abhilfemaßnahmen und Schritte zur Verringerung der Angriffsfläche empfehlen Verteidiger, Cleo-Software so zu rekonfigurieren, dass die Autorun-Funktionalität deaktiviert wird, was zu RCE führen könnte. Diese Abhilfemaßnahme könnte jedoch eine vorübergehende Lösung sein, da sie die beliebige Datei-Schreibschwachstelle nicht stoppt, bis ein aktualisierter Patch veröffentlicht wird.
Um realen Angriffen entgegenzuwirken und Ausnutzungsversuche proaktiv zu identifizieren, kuratiert SOC Prime eine vollständige Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung, die globalen Organisationen helfen kann, jederzeit unternehmensfähige und zukunftssichere Sicherheitslösungen zur Verfügung zu haben.
