Avis du 10 décembre : Vulnérabilité de téléchargement de fichiers sans restriction dans plusieurs produits de transfert de fichiers Cleo [CVE-2024-50623].

Date de divulgation : 9 décembre 2024
Date de déclaration d'exploitation active (source) : 9 décembre 2024

CVE-2024-50623 est une vulnérabilité d'exécution de code à distance non authentifiée qui affecte les produits Cleo Harmony, VLTrader et LexiCom, utilisés pour le transfert de fichiers gérés. Ce CVE est toujours en attente d'analyse dans le NVD.

 

Champ d'application	Détails
CVE-ID	CVE-2024-50623 - CVSS 8.8 (critique) - attribué par CISA ADP
Description de la vulnérabilité	Dans les versions de Cleo Harmony, VLTrader et LexiCom antérieures à la version 5.8.0.21 incluse, il existe un téléchargement de fichiers sans restriction qui permet l'exécution de code à distance sans authentification.
Date de la divulgation	9 décembre 2024
Actifs touchés	Les produits Cleo suivants sont concernés : Cleo Harmony  Cleo VLTrader  Cleo LexiCom
Versions de logiciels vulnérables	Versions antérieures à la version 5.8.0.21 incluse.
PoC disponible ?	Huntress a fourni des détails sur un exploit de démonstration dans son blog.
Statut d'exploitation	Bien que cette vulnérabilité ne soit pas répertoriée dans le CISA KEV, Huntress a signalé que cette CVE était exploitée dans la nature dans son blog.
Statut du patch	Cleo a indiqué que la vulnérabilité a été corrigée dans la version 5.8.0.21 des trois solutions, mais selon Huntress, la version 5.8.0.21 reste vulnérable à l'exploitation. Cleo prépare une nouvelle désignation CVE et prévoit la publication d'un nouveau correctif en milieu de semaine.

Censys Perspective

Au moment de la rédaction du présent document, Censys a observé 1,342 instances de Cleo Harmony, VLTrader et LexiCom exposées en ligne. Une grande partie d'entre elles (79%) sont géolocalisées aux États-Unis. Censys a observé environ 13% des instances exposées sont associées à Microsoft Azure (ASN 8075). Actuellement, toutes les instances observées sont vulnérables dans l'attente d'un correctif de Cleo.

Carte des instances de Cleo touchées par l'exposition :

Censys Requête de recherche :

services.http.response.headers: (key: "Server" and value.headers: {"Cleo Harmony/", "Cleo VLTrader/", "Cleo LexiCom/"})

Censys Requête ASM :

host.services.http.response.headers: (key: "Server" and value.headers: {"Cleo Harmony/", "Cleo VLTrader/", "Cleo LexiCom/"})

Censys Demande de renseignements sur les risques de l'ASM :

risks.name="Vulnerable Cleo Instance [CVE-2024-50623]"

Références

• https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-software-actively-being-exploited-in-the-wild
• https://support.cleo.com/hc/en-us/articles/27140294267799-Cleo-Product-Security-Advisory-CVE-2024-50623
• https://nvd.nist.gov/vuln/detail/CVE-2024-50623