Fecha de divulgación (fuente): 10 de diciembre de 2024
Fecha en que se comunicó que se había explotado activamente (fuente): 17 de diciembre de 2024
La semana pasada, informamos sobre CVE-2024-50623 en múltiples productos de transferencia de archivos Cleo, una vulnerabilidad de carga de archivos sin restricciones que fue revelada y reportada como explotada activamente el 9 de diciembre de 2024. Cleo publicó un parche en la versión 5.8.0.21 para solucionar esta vulnerabilidad, pero los informes indicaban que este parche seguía siendo vulnerable a la explotación.
Poco después, una vulnerabilidad no relacionada y más crítica, CVE-2024-55956que permite a un usuario no autenticado ejecutar comandos Bash o PowerShell arbitrarios en el sistema anfitrión aprovechando la configuración predeterminada del directorio Autorun en los productos Cleo Harmony, VLTrader y LexiCom. Esta CVE aún está pendiente de análisis por parte del NVD.
Esta vulnerabilidad ha sido explotada activamente desde el 3 de diciembre, y el grupo de ransomware Cl0p se atribuyó la responsabilidad en una campaña de explotación masiva. Sin embargo, un nuevo grupo de ransomware, Termite, fue inicialmente sospechoso de los ataques, y algunos investigadores sugirieron que Termite podría ser un sucesor de Cl0p. Cl0p se ha atribuido la autoría, pero estas afirmaciones no constituyen una prueba definitiva de atribución.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-55956 - CVSS 9.8 (crítico) - asignado por CISA ADP |
| Descripción de la vulnerabilidad |
En Cleo Harmony antes de la versión 5.8.0.24, VLTrader antes de la versión 5.8.0.24 y LexiCom antes de la versión 5.8.0.24, un usuario no autenticado puede importar y ejecutar comandos Bash o PowerShell arbitrarios en el sistema host aprovechando la configuración predeterminada del directorio Autorun. |
| Fecha de divulgación |
10 de diciembre de 2024 |
| Activos afectados |
Los siguientes productos Cleo están afectados:
- Armonía Cleo
- Cleo VLTrader
- Cleo LexiCom
|
| Versiones de software vulnerables |
Versiones anteriores a la 5.8.0.24. |
| ¿PoC disponible? |
Rapid7 proporcionó un análisis detallado de CVE-2024-55956 en su blog. Además, Ostorlab compartió un exploit público en su repositorio GitHub repositorio. |
| Estado de explotación |
Esta vulnerabilidad se añadió a CISA KEV el 17 de diciembre de 2024. |
| Estado del parche |
Cleo recomienda recomienda encarecidamente a a todos los clientes que actualicen inmediatamente las instancias de Harmony, VLTrader y LexiCom al último parche publicado (versión 5.8.0.24) para solucionar esta vulnerabilidad. |
Censys Perspectiva
At the time of writing, Censys observed 1,442 exposed Cleo Harmony, VLTrader, and LexiCom instances online. A large proportion of these (63%) are geolocated in the United States. Of these exposures, 1,011 hosts, or 70%, were observed running an unpatched version < 5.8.0.24.
Mapa de instancias expuestas y vulnerables de Cleo:
Tenga en cuenta que las consultas de búsqueda y ASM que aparecen a continuación son para la detección de todos los productos Cleo afectados independientemente de la versión, mientras que la consulta ASM Risk localiza específicamente las instancias vulnerables para los clientes de Censys ASM.
Censys Consulta de búsqueda:
services.software.vendor = "Cleo" and services.software:(product="VLTrader" or product="Harmony" or product="LexiCom")
Censys Consulta ASM:
host.services.software.vendor = "Cleo" and host.services.software:(product="VLTrader" or product="Harmony" or product="LexiCom")
Censys Consulta de riesgos ASM:
risks.name: "Vulnerable Cleo Instance [CVE-2024-55956]"
Tenga en cuenta que este riesgo se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Referencias
