Исследователи безопасности предупреждают, что хакеры активно используют еще одну уязвимость высокого риска в популярной технологии передачи файлов для проведения массовых взломов.
По словам исследователей из компании по кибербезопасности Huntress, уязвимость, отслеживаемая как CVE-2024-50623, затрагивает программное обеспечение, разработанное компанией Cleo, расположенной в Иллинойсе.
Уязвимость была впервые раскрыта Клео в рекомендациях по безопасности от 30 октября, в которых предупреждалось, что эксплуатация может привести к удаленному выполнению кода. Это затрагивает инструменты Cleo LexiCom, VLTransfer и Harmony, которые обычно используются предприятиями для управления передачей файлов.
Клео выпустила патч для уязвимости в октябре, но в понедельник в блоге Охотница предупредила, что патч не устраняет недостаток программного обеспечения.
Исследователь безопасности Huntress Джон Хаммонд заявил, что компания наблюдала, как злоумышленники «массово используют это программное обеспечение» с 3 декабря. Он добавил, что Huntress, которая защищает более 1700 серверов Cleo LexiCom, VLTransfer и Harmony, обнаружила как минимум 10 компаний, чьи серверы были скомпрометированы.
«На данный момент в число организаций-жертв входят различные компании, производящие потребительские товары, логистические и транспортные организации, а также поставщики продуктов питания», — написал Хаммонд, добавив, что многие другие клиенты подвергаются риску взлома.
Shodan, поисковая система общедоступных устройств и баз данных, перечисляет сотни уязвимых серверов Cleo, большинство из которых расположены в США.
У Cleo более 4200 клиентов, включая американскую биотехнологическую компанию Illumina, гиганта спортивной обуви New Balance и голландскую логистическую фирму Portable.
Huntress еще не определила злоумышленника, стоящего за этими атаками, и неизвестно, были ли украдены какие-либо данные у пострадавших клиентов Cleo. Однако Хаммонд отметил, что компания наблюдала, как хакеры выполняли «действия после эксплуатации» после компрометации уязвимых систем.
Клео не ответила на вопросы TechCrunch и пока не выпустила патч, защищающий от уязвимости. Huntress рекомендует клиентам Cleo переместить любые системы, доступные из Интернета, за брандмауэр до тех пор, пока не будет выпущен новый патч.
Корпоративные инструменты передачи файлов являются популярной мишенью среди хакеров и групп вымогателей. В прошлом году связанная с Россией банда вымогателей Clop заявила о тысячах жертв, воспользовавшись уязвимостью нулевого дня в продукте MOVEit Transfer компании Progress Software. Эта же банда ранее взяла на себя ответственность за массовую эксплуатацию уязвимости в программном обеспечении для управляемой передачи файлов Fortra GoAnywhere, которое использовалось для атак более чем 130 организаций.
