【安全圈】新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用

　　Huntress 安全研究人员首先发现了对 Cleo MFT 软件的主动利用★★，他们还在一篇新文章中发布了概念验证 ( PoC ) 漏洞，提醒用户应采取紧急行动。

　　完成对系统的攻击后，威胁者会执行 PowerShell 命令来删除攻击中的文件，例如 C:LexiComcleo★★.1142。Huntress 的遥测数据表明，这些攻击已经影响了至少 10 个使用 Cleo 软件产品的企业，其中一些企业从事消费品、食品行业、卡车运输和航运业务。

　　CVE-2024-50623 的活跃利用证据始于 2024 年 12 月 3 日，12 月 8 日观察到的攻击量显著上升★★★。尽管归属尚不清楚，但这些攻击与以下 IP 地址相关★：加拿大、荷兰、立陶宛和摩尔多瓦。

　　PowerShell 命令与远程 IP 地址建立回调连接★、下载额外的 JAR 有效负载并擦除恶意文件以阻碍取证调查。Huntress 表示★★★，在后利用阶段，攻击者使用 nltest.exe 枚举 Active Directory 域，部署 Webshell 以在受感染的系统上进行持久远程访问，并使用 TCP 通道最终窃取数据。

　　Cleo MFT 漏洞影响版本 5.8.0★★.21 及更早版本，是对先前修复的漏洞 CVE-2024-50623 的绕过，Cleo 于 2024 年 10 月解决了该漏洞。但是★，该修复并不无懈可击，它还允许威胁者绕过它并继续攻击在攻击中利用★★。

　　Huntress 解释说： 这个漏洞正在被广泛利用，运行 5.8★★★.0.21 的完全修补的系统仍然可以被利用。我们强烈建议您将任何暴露于互联网的 Cleo 系统移至防火墙后面，直到发布新补丁为止。

　　发生这种情况时，这些文件会调用内置导入功能来加载其他有效负载，例如包含 XML 配置（main.xml）的 ZIP 文件，其中包含将执行的 PowerShell 命令。

　　Huntress 表示★★★，Cleo 预计针对此漏洞的新安全更新将晚些时候发布。此外，有媒体向 Cleo 询问了有关该漏洞的其他问题，并被告知安全更新 正在开发中 ★★。

　　Huntress 指出，还有更多潜在受害者超出了其可见范围★★，Shodan 互联网扫描返回了 390 个 Cleo 软件产品结果，绝大多数（298 个）易受攻击的服务器位于美国。

　　黑客正在积极利用 Cleo 托管文件传输软件中的零日漏洞来破坏企业网络并进行数据盗窃攻击★★★。该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中，允许不受限制的文件上传和下载，从而导致远程代码执行★★。

　　然而，网络安全专家认为，这些 Cleo 数据盗窃攻击与新的 Termite 勒索软件团伙有关，该团伙最近入侵了全球许多公司使用的供应链软件提供商 Blue Yonder。

　　鉴于 CVE-2024-50623 的活跃利用以及当前补丁（版本 5★.8★★.0.21）的无效性★★★，用户必须立即采取措施来降低妥协风险。Huntress 建议将暴露于互联网的系统移至防火墙后面并限制对 Cleo 系统的外部访问。