SK-CERT Bezpečnostné varovanie V20241217-06

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Cleo LexiCom, VLTrader a Harmony – kritická bezpečnostná zraniteľnosť

Popis

Bezpečnostní výskumníci zverejnili informácie o aktívnom zneužívaní dvoch bezpečnostných zraniteľností v produktoch LexiCom, VLTrader a Harmony od spoločnosti Cleo, z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-55956 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Zneužitím druhej bezpečnostnej zraniteľnosti s identifikátorom CVE-2024-50623 možno vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Zneužitie zraniteľnosti s identifikátorom CVE-2024-50623 vyžaduje interakciu používateľa. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Dátum prvého zverejnenia varovania

9.12.2024

CVE

CVE-2024-50623, CVE-2024-55956

IOC

176.123.5[.]126 5.149.249[.]226 185.181.230[.]103 209.127.12[.]38 181.214.147[.]164 192.119.99[.]42 60282967-dc91-40ef-a34c-38e992509c2c.xml healthchecktemplate.txt healthcheck.txt

Zasiahnuté systémy

Cleo Harmony vo verzii staršej ako 5.8.0.24 Cleo VLTrader vo verzii staršej ako 5.8.0.24 Cleo LexiCom vo verzii staršej ako 5.8.0.24

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. V prípade, že aktualizácia systému nie je možná, odporúčame postupovať podľa pokynov výrobcu uvedených na odkazoch v sekcii ZDROJE. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. Rovnako odporúčame preveriť všetky dostupné logy na prítomnosť IOC a pokusov o zneužitie zraniteľnosti.

Zdroje

https://support.cleo.com/hc/en-us/articles/28408134019735-Cleo-Product-Security-Advisory-CVE-Pending https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623 https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild https://thehackernews.com/2024/12/cleo-file-transfer-vulnerability-under.html https://nvd.nist.gov/vuln/detail/CVE-2024-50623

« Späť na zoznam