CVE-2024-50623 Deteção: Atacantes Exploram Ativamente uma Vulnerabilidade de Execução Remota de Código nos Produtos de Transferência de Arquivos Cleo Harmony, VLTrader e LexiCom
Índice:
Ataques de alto perfil muitas vezes resultam da exploração de RCE vulnerabilidades em produtos de software comumente usados. No final de outubro de 2024, pesquisadores de segurança descobriram uma vulnerabilidade crítica na API do FortiManager (CVE-2024-47575) ativamente explorada em ataques de dia zero. Com a temporada de férias no horizonte, os adversários intensificam suas atividades à medida que uma nova falha de segurança surge no cenário de ameaças cibernéticas. Os defensores identificaram recentemente a exploração ativa de uma vulnerabilidade RCE nos softwares Cleo LexiCom, VLTransfer e Harmony MFT, aplicativos chave amplamente utilizados por várias empresas de grande porte para compartilhamento seguro de arquivos.
Detectar Tentativas de Exploração de CVE-2024-50623
A Detecção Proativa da Exploração de Vulnerabilidades continua sendo um dos principais casos de uso em cibersegurança devido ao aumento consistente no número de vulnerabilidades identificadas. Em 2024, especialistas em segurança revelaram e publicaram quase 40 mil vulnerabilidades, marcando um aumento de 41% em comparação com o ano anterior. Para se manter à frente das ameaças emergentes e detectar possíveis ataques a tempo, a Plataforma SOC Prime oferece uma vasta coleção de regras de detecção enriquecidas com CTI, apoiadas por soluções avançadas de detecção e caça de ameaças.
Pressione o botão Explorar Detecções abaixo para acessar regras Sigma que abordam tentativas de exploração de CVE-2024-50623. Todas as regras estão mapeadas para o quadro ATT&CK da MITRE, enriquecidas com informações extensas de inteligência de ameaças, e compatíveis com mais de 30 soluções SIEM, EDR e Data Lake.
Análise do CVE-2024-50623
A Huntress emitiu recentemente um alerta sobre uma vulnerabilidade corrigida de forma inadequada, CVE-2024-50623, em várias soluções de software Cleo. Os pesquisadores da watchTowr Labs forneceram uma análise mais aprofundada sobre as tentativas de exploração do CVE-2024-50623 e como a vulnerabilidade de Gravação de Arquivos Arbitrária está sendo explorada para alcançar RCE através da funcionalidade autorun.
Pesquisadores identificaram pelo menos dez empresas com servidores Cleo comprometidos, observando um aumento significativo na atividade de exploração em 8 de dezembro de 2024. Análises adicionais revelaram evidências de exploração datando de 3 de dezembro, e é provável que haja servidores Cleo vulneráveis adicionais ainda não descobertos. A maioria dos clientes comprometidos pertence às indústrias de produtos de consumo, alimentos, transportes e embarques. Uma pesquisa no Shodan exibe que mais de 100 instâncias de produtos Cleo executando uma versão vulnerável estão expostas à internet.
A Cleo notificou os clientes no final de outubro sobre como abordar CVE-2024-50623 que poderia permitir RCE e afetou os produtos de transferência de arquivos Cleo Harmony, VLTrader e LexiCom. O fornecedor publicou um aviso de segurança para CVE-2024-50623 , no qual versões de produtos vulneráveis até a 5.8.0.21 foram mencionadas. No entanto, os pesquisadores da Huntress identificaram que o patch fornecido na versão 5.8.0.21 foi insuficiente, deixando a vulnerabilidade sem solução. Eles também confirmaram que agentes de ameaça exploraram ativamente o CVE-2024-50623 em ataques no mundo real.
Defensores notaram que os atacantes mantêm a persistência nos sistemas comprometidos, realizam reconhecimento e tomam medidas para permanecer fora do radar, além de outras atividades de pós-exploração não identificadas.
Portanto, as versões 5.8.0.21 corrigidas ainda são vulneráveis ao exploit observado em campo. O fornecedor confirmou que está trabalhando em um novo patch para resolver o problema em breve. Como medidas de mitigação potenciais para CVE-2024-50623 e etapas para reduzir a superfície de ataque, os defensores recomendam reconfigurar o software Cleo para desativar a funcionalidade de autorun que poderia levar a RCE. No entanto, essa estratégia de mitigação poderia ser uma solução temporária, já que não impediria a vulnerabilidade de gravação de arquivos arbitrária até que um patch atualizado seja lançado.
Para superar ataques no mundo real e identificar proativamente tentativas de exploração de vulnerabilidades, a SOC Prime organiza um conjunto completo de produtos para engenharia de detecção impulsionada por IA, caça de ameaças automatizada e detecção avançada de ameaças, o que pode ajudar organizações globais a sempre terem soluções de segurança empresariais e à prova de futuro à sua disposição.
