Cleo şirketi, muhtemelen yakın zamanda bir güvenlik açığının kapatıldığı veri aktarım yazılımı üretiyor. Yama yeterli değil, güvenlik açığı vahşi ortamda aktif olarak saldırıya uğruyor. Etkili bir güncelleme mevcut olana kadar BT yöneticilerinin Cleo sunucularını bir güvenlik duvarının arkasına yerleştirmesi ve böylece onları koruması gerekir.
Duyuru
Huntress'teki BT güvenlik araştırmacıları yakın tarihli bir blog yazısında gözlemlerini açıklıyor. Bu, 5.8.0.21 sürümünden önceki Cleo Harmony, VLTrader ve Lexicom'daki Sınırsız Dosyaların Internet'ten kötü amaçlı kod yürütmek için kötüye kullanılmasına izin veren bir güvenlik açığıdır (CVE-2024-50623). Cleo geliştiricileri, Salı sabahı güncellenen güvenlik notlarında, yayımlanan son yamayı yüklemenin, güvenlik açığına yönelik daha fazla saldırı vektörünü önleyeceğini yazıyor.
BT araştırmacıları: Yama etkisiz
Aynı sıralarda Huntress analizini Reddit'te yayınladı. Sonuç olarak, 5.8.0.21 yamalı sürümleri hâlâ savunmasızdır. Bir Uzlaşma Göstergesi (IOC), “hosts” alt dizininde bulunur. Powershell'de kodlanmış gömülü bir komut içeren “main.xml” veya “60282967-dc91-40ef-a34c-38e992509c2c.xml” (dosya adı birçok enfeksiyonda göründü) dosyaları açık ipuçlarıdır.
Huntress blog yazısında CIO'ları güncellemeye ve daha fazlasını eklemeye devam ediyor. 8 Aralık'tan bu yana ele geçirilen sunucularda önemli bir artış gözlemlendi. BT araştırmacıları, kavram kanıtını kullanarak saldırıları yeniden oluşturdular ve mevcut yamaların yetersiz olduğunu buldular. Üretici, Cleo ile anlaşarak yeni yamaları mümkün olan en kısa sürede sağlayacağını duyurdu.
Huntress, o zamana kadar bir konfigürasyon değişikliği yoluyla saldırının bir kısmını önleyerek saldırı yüzeyinin azaltılmasını öneriyor. Kötü amaçlı kod bir “otomatik çalıştırma” dizini aracılığıyla yürütülür; Bu, “Yapılandır” – “Seçenekler” – “Diğer” bölümünde “Otomatik çalıştırma dizini” alanındaki girişi silerek önlenebilir. Ancak bu, sınırsız sayıda olası dosya yükleme sorununu çözmez. Huntress şöyle yazıyor: “Yeni bir yama yayınlanana kadar internete açık olan herhangi bir Cleo sistemini bir güvenlik duvarının arkasına yerleştirmenizi şiddetle tavsiye ediyoruz.” IOC'ler ayrıca Powershell talimatlarının kötü amaçlı kod yüklediği IP adreslerini de içerir.
Veri aktarım yazılımı siber suçlular arasında oldukça popülerdir. Fidye yazılımı saldırılarından veya fidye gaspından kaynaklanan potansiyel hasar yüksektir. Geçtiğimiz yıl, suç örgütü cl0p, yüzlerce tanınmış şirketten gelen hassas verileri kopyalamak için Progress'in MOVEit Transferindeki güvenlik açıklarından büyük ölçekte yararlandı. Bu nedenle BT yöneticileri bir saldırının kurbanı olmamak için hızlı hareket etmelidir.
(Bilmiyorum)
Duyuru
Huntress'teki BT güvenlik araştırmacıları yakın tarihli bir blog yazısında gözlemlerini açıklıyor. Bu, 5.8.0.21 sürümünden önceki Cleo Harmony, VLTrader ve Lexicom'daki Sınırsız Dosyaların Internet'ten kötü amaçlı kod yürütmek için kötüye kullanılmasına izin veren bir güvenlik açığıdır (CVE-2024-50623). Cleo geliştiricileri, Salı sabahı güncellenen güvenlik notlarında, yayımlanan son yamayı yüklemenin, güvenlik açığına yönelik daha fazla saldırı vektörünü önleyeceğini yazıyor.
BT araştırmacıları: Yama etkisiz
Aynı sıralarda Huntress analizini Reddit'te yayınladı. Sonuç olarak, 5.8.0.21 yamalı sürümleri hâlâ savunmasızdır. Bir Uzlaşma Göstergesi (IOC), “hosts” alt dizininde bulunur. Powershell'de kodlanmış gömülü bir komut içeren “main.xml” veya “60282967-dc91-40ef-a34c-38e992509c2c.xml” (dosya adı birçok enfeksiyonda göründü) dosyaları açık ipuçlarıdır.
Huntress blog yazısında CIO'ları güncellemeye ve daha fazlasını eklemeye devam ediyor. 8 Aralık'tan bu yana ele geçirilen sunucularda önemli bir artış gözlemlendi. BT araştırmacıları, kavram kanıtını kullanarak saldırıları yeniden oluşturdular ve mevcut yamaların yetersiz olduğunu buldular. Üretici, Cleo ile anlaşarak yeni yamaları mümkün olan en kısa sürede sağlayacağını duyurdu.
Huntress, o zamana kadar bir konfigürasyon değişikliği yoluyla saldırının bir kısmını önleyerek saldırı yüzeyinin azaltılmasını öneriyor. Kötü amaçlı kod bir “otomatik çalıştırma” dizini aracılığıyla yürütülür; Bu, “Yapılandır” – “Seçenekler” – “Diğer” bölümünde “Otomatik çalıştırma dizini” alanındaki girişi silerek önlenebilir. Ancak bu, sınırsız sayıda olası dosya yükleme sorununu çözmez. Huntress şöyle yazıyor: “Yeni bir yama yayınlanana kadar internete açık olan herhangi bir Cleo sistemini bir güvenlik duvarının arkasına yerleştirmenizi şiddetle tavsiye ediyoruz.” IOC'ler ayrıca Powershell talimatlarının kötü amaçlı kod yüklediği IP adreslerini de içerir.
Veri aktarım yazılımı siber suçlular arasında oldukça popülerdir. Fidye yazılımı saldırılarından veya fidye gaspından kaynaklanan potansiyel hasar yüksektir. Geçtiğimiz yıl, suç örgütü cl0p, yüzlerce tanınmış şirketten gelen hassas verileri kopyalamak için Progress'in MOVEit Transferindeki güvenlik açıklarından büyük ölçekte yararlandı. Bu nedenle BT yöneticileri bir saldırının kurbanı olmamak için hızlı hareket etmelidir.
(Bilmiyorum)