Rilevamento CVE-2024-50623: Gli Attaccanti Sfruttano Attivamente una Vulnerabilità RCE nei Prodotti di Trasferimento File Cleo Harmony, VLTrader e LexiCom
Indice:
Gli attacchi di alto profilo spesso derivano dallo sfruttamento di RCE vulnerabilità in prodotti software comunemente utilizzati. A fine ottobre 2024, i ricercatori di sicurezza hanno scoperto una vulnerabilità critica nell’API di FortiManager (CVE-2024-47575) sfruttata attivamente in attacchi zero-day. Con l’avvicinarsi della stagione delle vacanze, gli avversari intensificano le loro attività mentre emerge una nuova falla di sicurezza nel panorama delle minacce informatiche. I difensori hanno recentemente identificato lo sfruttamento attivo di una vulnerabilità RCE nei software Cleo LexiCom, VLTransfer e Harmony MFT, applicazioni chiave ampiamente utilizzate da numerose grandi aziende per la condivisione sicura dei file.
Rileva i tentativi di sfruttamento di CVE-2024-50623
Il rilevamento proattivo dello sfruttamento delle vulnerabilità rimane uno dei principali casi d’uso della cybersicurezza a causa del costante aumento del numero di vulnerabilità identificate. Nel 2024, gli esperti di sicurezza hanno rivelato e pubblicato quasi 40.000 vulnerabilità, segnando un aumento del 41% rispetto all’anno precedente. Per rimanere al passo con le minacce emergenti e rilevare potenziali attacchi in tempo, SOC Prime Platform offre una vasta collezione di regole di rilevazione arricchite con CTI e supportate da soluzioni avanzate per il rilevamento e la caccia alle minacce.
Premi il pulsante Esplora Rilevazioni qui sotto per accedere alle regole Sigma indirizzate ai tentativi di sfruttamento di CVE-2024-50623. Tutte le regole sono mappate al framework MITRE ATT&CK, arricchite con approfondite informazioni sulle minacce, e compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake.
Analisi di CVE-2024-50623
Huntress ha recentemente emesso un avviso riguardo a una vulnerabilità mal corretta, CVE-2024-50623, in diversi software Cleo. I ricercatori di watchTowr Labs hanno fornito un’analisi più approfondita sui tentativi di sfruttamento di CVE-2024-50623 e su come la vulnerabilità di Arbitrary File Write venga sfruttata per ottenere RCE tramite la funzionalità di autoruns.
I ricercatori hanno identificato almeno dieci aziende con server Cleo compromessi, osservando un significativo picco nell’attività di sfruttamento l’8 dicembre 2024. Ulteriori analisi hanno rivelato prove di sfruttamento risalenti al 3 dicembre e probabilmente ci sono altri server Cleo vulnerabili ancora da scoprire. La maggior parte dei clienti compromessi appartiene ai settori dei prodotti di consumo, alimentare, trasporti e spedizioni. Una ricerca su Shodan mostra che oltre 100 istanze di prodotti Cleo che eseguono una versione vulnerabile sono esposte a internet.
Cleo ha avvisato i clienti a fine ottobre di aver risolto CVE-2024-50623 che potrebbe consentire RCE e ha colpito i prodotti di trasferimento file Cleo Harmony, VLTrader e LexiCom. Il fornitore ha pubblicato un avviso di sicurezza per CVE-2024-50623 , nel quale sono state menzionate versioni di prodotto vulnerabili fino alla 5.8.0.21. Tuttavia, i ricercatori di Huntress hanno identificato che la patch fornita nella versione 5.8.0.21 era insufficiente, lasciando la vulnerabilità non risolta. Hanno anche confermato che gli attori delle minacce hanno attivamente sfruttato CVE-2024-50623 in attacchi reali.
I difensori hanno notato che gli attaccanti mantengono la persistenza sui sistemi compromessi, eseguono ricognizioni e prendono provvedimenti per rimanere nascosti, insieme ad altre attività post-exploitation non identificate.
Pertanto, le versioni patchate 5.8.0.21 sono ancora vulnerabili all’exploit osservato nel mondo reale. Il fornitore ha confermato che stanno lavorando su una nuova patch per risolvere il problema a breve. Come potenziali misure di mitigazione di CVE-2024-50623 e passaggi per ridurre la superficie d’attacco, i difensori raccomandano di riconfigurare il software Cleo per disabilitare la funzionalità autoruns che potrebbe portare a RCE. Tuttavia, questa strategia di mitigazione potrebbe essere una soluzione temporanea poiché non fermerà la vulnerabilità di scrittura di file arbitraria fino a quando non verrà rilasciata una patch aggiornata.
Per superare gli attacchi nel mondo reale e identificare proattivamente i tentativi di sfruttamento delle vulnerabilità, SOC Prime cura un’intera suite di prodotti per l’ingegneria della rilevazione basata sull’intelligenza artificiale, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce, che può aiutare le organizzazioni globali a disporre sempre di soluzioni di sicurezza pronte per l’impresa e a prova di futuro.
