CVE-2024-55956 wird aktiv in realen Umgebungen ausgenutzt und zielt auf die Dateiübertragungstools von Cleo ab: Harmony, VLTrader und LexiCom. Eine bekannte Ransomware-Gruppe, Cl0p, hat die Verantwortung für diese Angriffe übernommen, bei denen eine Schwachstelle ausgenutzt wird, die eine Remote-Code-Ausführung ermöglicht. Die Cybersecurity and Infrastructure Security Agency (CISA) hat diese Schwachstelle in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und die Bundesbehörden angewiesen, den Patch bis Januar 2025 anzuwenden.
| Produkt | Cleo-Produkte |
| Datum | 18.12.2024 09:25:52 |
| Informationen |
|
Technische Zusammenfassung
Die Schwachstelle, identifiziert als CVE-2024-55956, betrifft Versionen von Cleo Harmony, VLTrader und LexiCom vor 5.8.0.24. Die Ausnutzung erfolgt aufgrund einer unsachgemäßen Handhabung der Standardeinstellungen im Autorun-Verzeichnis, was es nicht authentifizierten Angreifern ermöglicht, beliebige Bash- oder PowerShell-Befehle zu importieren und auszuführen. Diese Sicherheitslücke hat eine andere Ursache als CVE-2024-50623, obwohl beide Schwachstellen auf eine ähnliche Codebasis und ähnliche Endpunkte abzielen. Angreifer haben diese Schwäche genutzt, um Aufklärungsaktivitäten durchzuführen, Befehle auszuführen, sensible Dateien zu exfiltrieren und Ransomware zu verbreiten, was erhebliche Auswirkungen auf die betroffenen Organisationen hat.
Empfehlungen
Auf die neueste sichere Version aktualisieren: Aktualisieren Sie Harmony, VLTrader und LexiCom umgehend auf die Version 5.8.0.24 oder höher.
[Callforaction-THREAT-Footer]
Leave a Reply