Détection CVE-2024-50623 : Les attaquants exploitent activement une vulnérabilité d’exécution de code à distance dans les produits de transfert de fichiers Cleo Harmony, VLTrader et LexiCom
Table des matières :
Les attaques très médiatisées proviennent souvent de l’exploitation de RCE vulnérabilités dans des produits logiciels couramment utilisés. Fin octobre 2024, des chercheurs en sécurité ont découvert une vulnérabilité critique dans l’API FortiManager (CVE-2024-47575) activement exploitée dans des attaques de type zero-day. Avec la saison des fêtes à l’horizon, les adversaires intensifient leurs activités alors qu’une nouvelle faille de sécurité émerge dans le paysage des cybermenaces. Les défenseurs ont récemment identifié l’exploitation active d’une vulnérabilité RCE dans les logiciels Cleo LexiCom, VLTransfer et Harmony MFT, des applications clés largement utilisées par de nombreuses grandes entreprises pour le partage de fichiers sécurisé.
Détecter les tentatives d’exploitation de CVE-2024-50623
La détection proactive de l’exploitation des vulnérabilités reste l’un des principaux cas d’utilisation de la cybersécurité en raison de l’augmentation constante du nombre de vulnérabilités identifiées. En 2024, les experts en sécurité ont révélé et publié près de 40 000 vulnérabilités, marquant une augmentation de 41 % par rapport à l’année précédente. Pour rester à l’affût des menaces émergentes et détecter les attaques potentielles à temps, la plateforme SOC Prime offre une vaste collection de règles de détection enrichies de CTI soutenues par des solutions avancées pour la détection et la chasse aux menaces.
Appuyez sur le bouton Explorer les détections ci-dessous pour accéder aux règles Sigma abordant les tentatives d’exploitation de CVE-2024-50623. Toutes les règles sont associées au cadre MITRE ATT&CK, enrichies avec une vaste intelligence sur les menaces, et compatibles avec plus de 30 solutions SIEM, EDR et Data Lake.
Analyse de CVE-2024-50623
Huntress a récemment émis un avertissement concernant une vulnérabilité mal corrigée, CVE-2024-50623, dans plusieurs solutions logicielles Cleo. Les chercheurs de watchTowr Labs ont fourni une analyse approfondie des tentatives d’exploitation de CVE-2024-50623 et de la manière dont la vulnérabilité d’écriture de fichiers arbitraires est exploitée pour obtenir un RCE via la fonctionnalité d’autoruns.
Les chercheurs ont identifié au moins dix entreprises avec des serveurs Cleo compromis, observant une augmentation significative de l’activité d’exploitation le 8 décembre 2024. Une analyse plus approfondie a révélé des preuves d’exploitation datant du 3 décembre, et il est probable qu’il existe d’autres serveurs Cleo vulnérables encore non découverts. La majorité des clients compromis appartiennent aux secteurs des produits de consommation, de l’alimentation, du transport routier et de la logistique. Une recherche Shodan montre que plus de 100 instances de produits Cleo exécutant une version vulnérable sont exposées à internet.
Cleo a informé les clients fin octobre des mesures prises pour aborder CVE-2024-50623 qui pourraient permettre un RCE et ont impacté les produits de transfert de fichiers Cleo Harmony, VLTrader et LexiCom. Le fournisseur a publié un avis de sécurité pour CVE-2024-50623 , dans lequel les versions de produit vulnérables jusqu’à la version 5.8.0.21 ont été mentionnées. Cependant, les chercheurs de Huntress ont identifié que le correctif fourni dans la version 5.8.0.21 était insuffisant, laissant la vulnérabilité non corrigée. Ils ont également confirmé que des acteurs malveillants ont activement exploité CVE-2024-50623 dans des attaques réelles.
Defenders have noticed the attackers maintaining persistence on the compromised systems, performing reconnaissance, and taking steps to remain under the radar, along with other unidentified post-exploitation activities.
Ainsi, les versions patchées 5.8.0.21 sont encore vulnérables à l’exploitation observée dans la nature. Le fournisseur a confirmé qu’il travaille sur un nouveau correctif pour résoudre le problème prochainement. Comme mesures potentielles d’atténuation de CVE-2024-50623 et mesures pour réduire la surface d’attaque, les défenseurs recommandent de reconfigurer le logiciel Cleo pour désactiver la fonctionnalité d’autoruns pouvant mener à un RCE. Cependant, cette stratégie d’atténuation pourrait être une solution temporaire car elle ne résoudra pas la vulnérabilité d’écriture de fichiers arbitraires avant qu’un patch mis à jour ne soit publié.
Pour dépasser les attaques réelles et identifier de manière proactive les tentatives d’exploitation de vulnérabilités, SOC Prime propose une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces, ce qui peut aider les organisations mondiales à disposer de solutions de sécurité prêtes pour l’entreprise et à l’épreuve du temps.
