Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

Avis du 18 décembre : Cleopocalypse : 70 % des expositions au transfert de fichiers de Cleo peuvent être vulnérables à un RCE non authentifié [CVE-2024-55956].

Date de la divulgation (source) : 10 décembre 2024
Date de déclaration d'exploitation active (source) : 17 décembre 2024

La semaine dernière, nous avons publié un rapport sur le CVE-2024-50623 dans plusieurs produits de transfert de fichiers Cleo, une vulnérabilité de téléchargement de fichiers sans restriction qui a été divulguée et signalée comme activement exploitée le 9 décembre 2024. Cleo a publié un correctif dans la version 5.8.0.21 pour corriger cette vulnérabilité, mais des rapports ont indiqué que ce correctif restait vulnérable à l'exploitation.

Peu de temps après, une vulnérabilité non liée et plus critique est apparue, CVE-2024-55956a été identifiée. Elle permet à un utilisateur non authentifié d'exécuter des commandes Bash ou PowerShell arbitraires sur le système hôte en exploitant les paramètres par défaut du répertoire Autorun dans les produits Cleo Harmony, VLTrader et LexiCom. Ce CVE est toujours en attente d'analyse par le NVD.

Cette vulnérabilité est activement exploitée dans la nature depuis le 3 décembre, et le groupe de ransomware Cl0p a revendiqué la responsabilité pour l'avoir ciblée dans une campagne d'exploitation massive. Cependant, un nouveau groupe de ransomware, Termite, a été initialement soupçonné de ces attaques, certains chercheurs suggérant que Termite pourrait être un successeur de Cl0p. Cl0p s'en est attribué le mérite, mais ces affirmations ne constituent pas une preuve définitive de l'attribution.

 

Champ d'application Détails
CVE-ID CVE-2024-55956 - CVSS 9.8 (critique) - attribué par CISA ADP
Description de la vulnérabilité Dans Cleo Harmony avant 5.8.0.24, VLTrader avant 5.8.0.24 et LexiCom avant 5.8.0.24, un utilisateur non authentifié peut importer et exécuter des commandes Bash ou PowerShell arbitraires sur le système hôte en exploitant les paramètres par défaut du répertoire Autorun.
Date de la divulgation 10 décembre 2024
Actifs touchés Les produits Cleo suivants sont concernés :

  • Cleo Harmony 
  • Cleo VLTrader 
  • Cleo LexiCom 
Versions de logiciels vulnérables  Versions antérieures à 5.8.0.24.
PoC disponible ? Rapid7 a fourni une analyse détaillée de CVE-2024-55956 dans son blogmais il n'y a pas d'exploitation publique disponible à l'heure où nous écrivons ces lignes.
Statut d'exploitation Cette vulnérabilité a été ajoutée à CISA KEV le 17 décembre 2024. 
Statut du patch Cleo conseille vivement conseille à tous ses clients de mettre à jour immédiatement leurs instances d'Harmony, de VLTrader et de LexiCom avec le dernier correctif publié (version 5.8.0.24) afin de corriger cette vulnérabilité.

Censys Perspective

At the time of writing, Censys observed 1,442 exposed Cleo Harmony, VLTrader, and LexiCom instances online. A large proportion of these (63%) are geolocated in the United States. Of these exposures, 1,011 hosts, or 70%, were observed running an unpatched version < 5.8.0.24.

Carte des instances exposées et vulnérables de Cleo :

Notez que les requêtes de recherche et d'ASM ci-dessous concernent la découverte de tous les produits Cleo concernés, quelle que soit la version, tandis que la requête ASM Risk identifie spécifiquement les instances vulnérables pour les clients ASM de Censys .

Censys Requête de recherche :

services.software.vendor = "Cleo" and services.software:(product="VLTrader" or product="Harmony" or product="LexiCom")

Censys Requête ASM :

host.services.software.vendor = "Cleo" and host.services.software:(product="VLTrader" or product="Harmony" or product="LexiCom") 

Censys Demande de renseignements sur les risques de l'ASM :

risks.name: "Vulnerable Cleo Instance [CVE-2024-55956]"

Notez que ce risque a été récemment déployé et que les résultats peuvent prendre 24 heures pour se propager complètement.

Références

Solutions de gestion de la surface d'attaque
En savoir plus