CVE-2024-50623 検出: 攻撃者がCleo Harmony、VLTrader、LexiComファイル転送製品のRCE脆弱性を積極的に悪用

著名な攻撃は一般的に使用されるソフトウェア製品の脆弱性を悪用することからよく始まります。 RCE 2024年10月末、セキュリティ研究者がFortiManager API (CVE-2024-47575) にある重大な脆弱性を発見し、ゼロデイ攻撃で積極的に悪用されていました。ホリデーシーズンが近づく中、新たなセキュリティの欠陥がサイバー脅威の状況に現れると、敵対者は活動を活発化させました。防御者は最近、Cleo LexiCom、VLTransfer、Harmony MFTソフトウェアのRCE脆弱性の活発な悪用を特定し、多くの大規模な企業が安全なファイル共有のために広く使用している主要なアプリケーションです。

CVE-2024-50623の悪用試行を検出

脆弱性の積極的な検出は、一貫した脆弱性の増加のために、トップのサイバーセキュリティのユースケースの1つであり続けています。2024年には、セキュリティ専門家がほぼ40Kの脆弱性を明らかにして公開し、 前年と比較して41%増加したことを示しています。 新しい脅威を把握し、潜在的な攻撃をタイムリーに検出するために、 SOC Primeプラットフォーム は、脅威検出とハンティングのための高度なソリューションによって支えられたCTIで強化された検出ルールの膨大なコレクションを提供しています。

下の 検出閲覧 ボタンを押して Sigmaルール にアクセスし、CVE-2024-50623の悪用試行を扱います。すべてのルールは、 MITRE ATT&CKフレームワークにマッピングされ、広範な 脅威インテリジェンスで強化され、30を超えるSIEM、EDR、およびデータレイクソリューションに対応しています。

検出閲覧

CVE-2024-50623分析

Huntressは最近、多くのCleoソフトウェアソリューションに存在する不適切に修正された脆弱性CVE-2024-50623に関する警告を発しました。 watchTowr Labsの研究者は、 CVE-2024-50623の悪用試行 と、任意のファイル書込みの脆弱性がオートラン機能を通じてRCEを実現するためにどのように悪用されているかについての詳細な分析を提供しました。

研究者は、少なくとも10のビジネスがCleoサーバーを侵害されていることを特定し、2024年12月8日に悪用活動の大幅なスパイクを観察しました。さらなる分析により、12月3日に遡る悪用の証拠が明らかになり、さらに未発見の脆弱なCleoサーバーがある可能性があることが示唆されました。侵害された顧客のほとんどは、消費者製品、食品、トラック輸送、および海運業界に属しています。Shodanの検索で 100以上のCleo製品インスタンス が脆弱なバージョンを実行してインターネットに公開されていることを示しています。

Cleoは10月後半に顧客に対して CVE-2024-50623 を解決することを通知し、RCEを可能にする可能性があり、Cleo Harmony、VLTrader、LexiComのファイル転送製品に影響を与えました。ベンダーは CVE-2024-50623に関するセキュリティ勧告 を公開し、脆弱な製品バージョン5.8.0.21までが言及されています。しかし、Huntressの研究者はバージョン5.8.0.21で提供されたパッチが不十分であり、脆弱性が未解決のままであると特定しました。また、脅威アクターがCVE-2024-50623を現実世界の攻撃で積極的に悪用していることも確認しました。

防御者は、攻撃者が侵害されたシステムで持続性を維持し、偵察を行い、レーダーの下に留まるための手順を実行し、他の未特定のポストエクスプロイト活動を行っていることに気付きました。

そのため、5.8.0.21でのパッチ済みバージョンは野生で観察された悪用に対して依然として脆弱です。ベンダーは問題に対処するための新しいパッチを間もなく発行することを確認しました。CVE-2024-50623の潜在的な緩和策や攻撃面を減らすステップとして、防御者はCleoソフトウェアを再構成してRCEにつながる可能性のあるオートラン機能を無効にすることを推奨しています。しかし、この緩和策は一時的な解決策である可能性があり、更新されたパッチがリリースされるまで任意のファイル書込み脆弱性を止めることはできません。

現実世界の攻撃をアウトスケールし、脆弱性の悪用試行をプロアクティブに特定するために、SOC Primeは 完全な製品スイート をキュレートし、AIによる検出エンジニアリング、脅威ハンティングの自動化、進化した脅威検出を可能にし、世界中の組織が常にエンタープライズ対応で将来に備えたセキュリティソリューションを持つことができるようにします。