CVE-2024-50623 탐지: 공격자가 Cleo Harmony, VLTrader 및 LexiCom 파일 전송 제품의 RCE 취약점을 적극적으로 악용

고위 공격의 경우 종종 RCE 널리 사용되는 소프트웨어 제품의 취약점 악용에서 비롯됩니다. 2024년 10월 말, 보안 연구원들은 FortiManager API( CVE-2024-47575)의 치명적인 취약점을 발견했으며, 이 취약점은 제로데이 공격에서 활발히 악용되고 있습니다. 휴가철이 다가오면서 새로운 보안 결함이 사이버 위협 환경에서 나타남에 따라 악당들이 그들의 활동을 증가시키고 있습니다. 방어자들은 최근 Cleo LexiCom, VLTransfer 및 Harmony MFT 소프트웨어의 RCE 취약점이 큰 규모의 기업들이 보안 파일 공유를 위해 널리 사용하는 주요 애플리케이션에서 활발히 악용되고 있다는 것을 확인했습니다.

CVE-2024-50623 악용 시도를 탐지하라

취약점 악용의 사전 감지는 식별된 취약점 수의 꾸준한 증가로 인해 최고 수준의 사이버 보안 사용 사례 중 하나로 남아 있습니다. 2024년에는 보안 전문가들이 거의 4만 개의 취약점을 공개하고 게시했으며, 이는 전년도에 비해 41% 증가 한 수치입니다. 최신 위협을 선제적으로 관리하고 잠재적 공격을 제때 탐지하기 위해, SOC Prime 플랫폼 은 위협 탐지 및 사냥을 위한 고급 솔루션에 의해 지원되는 CTI로 강화된 탐지 규칙의 방대한 컬렉션을 제공합니다.

아래의 탐지 탐색 버튼을 눌러 CVE-2024-50623 악용 시도에 대응하는 Sigma 규칙 에 접근하십시오. 모든 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며, 광범위한 위협 인텔로 강화되어 있으며 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환됩니다.

탐지 탐색

CVE-2024-50623 분석

Huntress는 최근 몇 가지 Cleo 소프트웨어 솔루션의 잘못 패치된 취약점 CVE-2024-50623에 대한 경고를 발행했습니다. watchTowr Labs 연구원들은 The watchTowr Labs researchers provided further in-depth analysis CVE-2024-50623 악용 시도와 자율 작동 기능을 통해 RCE를 달성하기 위한 임의 파일 쓰기 취약점 활용 방식에 대한 보다 심도 있는 분석을 제공했습니다.

연구원들은 2024년 12월 8일에 천여 명의 Cleo 서버가 손상되었음을 식별했으며, 악용 활동의 큰 증가가 관찰되었습니다. 추가 분석에서는 12월 3일로 거슬러 올라가는 악용 증거가 밝혀졌으며, 추가 취약한 Cleo 서버가 발견되지 않았을 가능성도 높습니다. 손상된 대부분의 고객들은 소비자 제품, 식품, 운송 및 선적 산업에 속합니다. Shodan 검색은 100개 이상의 Cleo 제품 인스턴스 가 취약한 버전을 실행하며 인터넷에 노출되어 있다고 표시합니다.

Cleo는 10월 말에 RCE를 가능하게 하고 Cleo Harmony, VLTrader 및 LexiCom 파일 전송 제품에 영향을 미치는 CVE-2024-50623 에 대한 해결을 고객에게 알렸습니다. 벤더는 CVE-2024-50623에 대한 보안 권고문 을 게시했으며, 여기에는 버전 5.8.0.21까지의 취약한 제품 버전에 대해 언급했습니다. 그러나 Huntress 연구원들은 5.8.0.21 버전에 제공된 패치가 불충분하여 취약점이 그대로 남아 있음을 확인했습니다. 그들은 또한 위협 행위자들이 실제 공격에서 CVE-2024-50623을 활발히 악용하고 있음을 확인했습니다.

방어자들은 공격자들이 손상된 시스템에 지속성을 유지하고 정찰을 수행하며 저변에서 식별되지 않은 사후 악용 활동과 함께 잠복하려는 노력을 기울이고 있음을 확인했습니다.

따라서 5.8.0.21 패치 버전은 여전히 야생에서 관찰된 익스플로잇에 취약합니다. 벤더는 문제를 해결하기 위한 새로운 패치를 곧 준비 중임을 확인했습니다. 잠재적인 CVE-2024-50623 완화 조치로 권장되는 Cleo 소프트웨어를 재구성하여 RCE로 이어질 수 있는 자율 작동 기능을 비활성화하여 공격 표면을 줄이는 것을 권장드립니다. 그러나 이 완화 전략은 임시 솔루션일 수 있으며 업데이트된 패치가 배포되기 전까지는 임의 파일 쓰기 취약점을 막을 수 없습니다.

실상 공격을 초월하고 취약점 악용 시도를 선제적으로 식별하기 위해, SOC Prime은 AI 기반 탐지 엔지니어링, 자동화된 위협 수색 및 고급 위협 탐지를 위한 완전한 제품군을 수집하여 글로벌 조직이 언제나 기업 준비가 된 창의적이고 미래 안전한 보안 솔루션을 사용할 수 있도록 지원합니다.