Datum der Offenlegung (Quelle): Dezember 10, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): Dezember 17, 2024
Letzte Woche berichteten wir über CVE-2024-50623 in mehreren Dateiübertragungsprodukten von Cleo berichtet, eine Sicherheitslücke beim uneingeschränkten Hochladen von Dateien, die am 9. Dezember 2024 aufgedeckt und als aktiv ausgenutzt gemeldet wurde. Cleo veröffentlichte einen Patch in der Version 5.8.0.21 veröffentlicht, um diese Schwachstelle zu beheben, aber Berichte zeigten, dass dieser Patch weiterhin ausgenutzt werden kann.
Kurze Zeit später wurde eine andere, kritischere Sicherheitslücke entdeckt, CVE-2024-55956identifiziert, die es einem nicht authentifizierten Benutzer ermöglicht, beliebige Bash- oder PowerShell-Befehle auf dem Host-System auszuführen, indem er die Standardeinstellungen des Autorun-Verzeichnisses in den Cleo-Produkten Harmony, VLTrader und LexiCom ausnutzt. Dieses CVE wartet noch auf die Analyse durch den NVD.
Diese Sicherheitslücke wird seit dem 3. Dezember aktiv ausgenutzt, und die Ransomware-Gruppe Cl0p übernahm die Verantwortung für eine Massenkampagne zur Ausnutzung der Schwachstelle verantwortlich. Eine neue Ransomware-Gruppe, Termite, wurde jedoch zunächst verdächtigt einige Forscher vermuten, dass Termite ein Nachfolger von Cl0p sein könnte. Cl0p hat sich dazu bekannt, aber solche Behauptungen sind kein definitiver Beweis für die Zugehörigkeit.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-55956 - CVSS 9.8 (kritisch) - zugewiesen von CISA ADP |
| Schwachstelle Beschreibung |
In Cleo Harmony vor 5.8.0.24, VLTrader vor 5.8.0.24 und LexiCom vor 5.8.0.24 kann ein nicht authentifizierter Benutzer beliebige Bash- oder PowerShell-Befehle auf das Hostsystem importieren und ausführen, indem er die Standardeinstellungen des Autorun-Verzeichnisses nutzt. |
| Datum der Offenlegung |
10. Dezember 2024 |
| Betroffene Vermögenswerte |
Die folgenden Cleo-Produkte sind betroffen:
- Cleo Harmony
- Cleo VLTrader
- Cleo LexiCom
|
| Anfällige Software-Versionen |
Versionen vor 5.8.0.24. |
| PoC verfügbar? |
Rapid7 hat eine detaillierte Analyse von CVE-2024-55956 in seinem Blog. Zusätzlich teilte Ostorlab einen öffentlichen Exploit in ihrem GitHub Repository. |
| Verwertungsstatus |
Diese Schwachstelle wurde am 17. Dezember 2024 in die CISA KEV aufgenommen. |
| Patch-Status |
Cleo rät dringend rät allen Kunden, die Instanzen von Harmony, VLTrader und LexiCom sofort auf den neuesten Patch (Version 5.8.0.24) zu aktualisieren, um diese Sicherheitslücke zu schließen. |
Censys Blickwinkel
At the time of writing, Censys observed 1,442 exposed Cleo Harmony, VLTrader, and LexiCom instances online. A large proportion of these (63%) are geolocated in the United States. Of these exposures, 1,011 hosts, or 70%, were observed running an unpatched version < 5.8.0.24.
Karte der exponierten und gefährdeten Cleo-Instanzen:
Beachten Sie, dass die folgenden Search und ASM-Abfragen zur Ermittlung von allen betroffenen Cleo-Produkte unabhängig von der Version sind, während die ASM-Risikoabfrage speziell verwundbare Instanzen für Censys ASM-Kunden aufspürt.
Censys Search Abfrage:
services.software.vendor = "Cleo" and services.software:(product="VLTrader" or product="Harmony" or product="LexiCom")
Censys ASM-Abfrage:
host.services.software.vendor = "Cleo" and host.services.software:(product="VLTrader" or product="Harmony" or product="LexiCom")
Censys ASM-Risikoabfrage:
risks.name: "Vulnerable Cleo Instance [CVE-2024-55956]"
Beachten Sie, dass dieses Risiko erst vor kurzem aufgetreten ist und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
