Detección de CVE-2024-50623: Los atacantes explotan activamente una vulnerabilidad de RCE en productos de transferencia de archivos Cleo Harmony, VLTrader y LexiCom
Tabla de contenidos:
Los ataques de alto perfil a menudo se originan por la explotación de RCE vulnerabilidades en productos de software comúnmente utilizados. A finales de octubre de 2024, los investigadores de seguridad descubrieron una vulnerabilidad crítica en la API de FortiManager (CVE-2024-47575) explotada activamente en ataques de día cero. Con la temporada de vacaciones en el horizonte, los adversarios incrementan sus actividades a medida que una nueva falla de seguridad surge en el panorama de amenazas cibernéticas. Los defensores han identificado recientemente la explotación activa de una vulnerabilidad RCE en el software Cleo LexiCom, VLTransfer, y Harmony MFT, aplicaciones clave utilizadas ampliamente por numerosas empresas a gran escala para el intercambio seguro de archivos.
Detectar Intentos de Explotación de CVE-2024-50623
La Detección Proactiva de la Explotación de Vulnerabilidades sigue siendo uno de los casos de uso más importantes en ciberseguridad debido al aumento constante en el número de vulnerabilidades identificadas. En 2024, los expertos en seguridad revelaron y publicaron casi 40K vulnerabilidades, marcando un incremento del 41% en comparación con el año anterior. Para estar al tanto de las amenazas emergentes y detectar posibles ataques a tiempo, SOC Prime Platform ofrece una gran colección de reglas de detección enriquecidas con CTI respaldadas por soluciones avanzadas para la detección y caza de amenazas.
Presiona el Explorar Detecciones botón a continuación para acceder a reglas Sigma que abordan los intentos de explotación de CVE-2024-50623. Todas las reglas están mapeadas al marco MITRE ATT&CK, enriquecidas con una extensa inteligencia de amenazas, y son compatibles con más de 30 soluciones SIEM, EDR, y Data Lake.
Análisis de CVE-2024-50623
Huntress ha emitido recientemente una advertencia sobre una vulnerabilidad mal parcheada, CVE-2024-50623, en varias soluciones de software Cleo. Los investigadores de watchTowr Labs proporcionaron un análisis más detallado sobre los intentos de explotación de CVE-2024-50623 y cómo se está explotando la vulnerabilidad de Escritura de Archivos Arbitraria para lograr RCE a través de la funcionalidad de autoruns.
Los investigadores identificaron al menos diez empresas con servidores Cleo comprometidos, observando un aumento significativo en la actividad de explotación el 8 de diciembre de 2024. Un análisis más detallado reveló evidencia de explotación que data del 3 de diciembre, y es probable que haya servidores Cleo vulnerables adicionales por descubrir. La mayoría de los clientes comprometidos pertenecen a las industrias de productos de consumo, alimentos, transporte y envío. Una búsqueda en Shodan muestra que más de 100 instancias de productos Cleo que ejecutan una versión vulnerable están expuestas a Internet.
Cleo notificó a los clientes a finales de octubre sobre cómo abordar CVE-2024-50623 que podría habilitar RCE y afectó a los productos de transferencia de archivos Cleo Harmony, VLTrader, y LexiCom. El proveedor ha publicado un aviso de seguridad para CVE-2024-50623 , en el cual se mencionaron versiones de producto vulnerables hasta la 5.8.0.21. Sin embargo, los investigadores de Huntress han identificado que el parche proporcionado en la versión 5.8.0.21 fue insuficiente, dejando la vulnerabilidad sin resolver. También confirmaron que los actores de amenazas han explotado activamente CVE-2024-50623 en ataques reales.
Los defensores han notado que los atacantes mantienen la persistencia en los sistemas comprometidos, realizan reconocimiento y toman medidas para permanecer bajo el radar, junto con otras actividades de post-explotación no identificadas.
Por lo tanto, las versiones parchadas 5.8.0.21 aún son vulnerables al exploit observado en la naturaleza. El proveedor confirmó que están trabajando en un nuevo parche para abordar el problema en breve. Como medidas potenciales de mitigación de CVE-2024-50623 y pasos para reducir la superficie de ataque, los defensores recomiendan reconfigurar el software Cleo para deshabilitar la funcionalidad de autoruns que podría conducir a RCE. Sin embargo, esta estrategia de mitigación podría ser una solución temporal ya que no detendrá la vulnerabilidad de escritura de archivos arbitrarios hasta que se publique un parche actualizado.
Para superar ataques del mundo real e identificar de manera proactiva intentos de explotación de vulnerabilidades, SOC Prime ofrece una suite completa de productos para ingeniería de detección potenciada por IA, caza de amenazas automatizada, y detección avanzada de amenazas, que puede ayudar a las organizaciones globales a tener siempre soluciones de seguridad listas para la empresa y a prueba de futuro a su disposición.
