ISGroup Cybersicherheitsberatung

Ausnutzung von Schwachstellen in Cleo Harmony, VLTrader und LexiCom

Ein aktiver Angriff zielt derzeit auf die Software Cleo Harmony®, VLTrader® und LexiCom® ab. Diese weit verbreiteten Lösungen für das Managed File Transfer sind anfällig für CVE-2024-50623, eine Schwachstelle, die eine Remote Code Execution (RCE) ohne Authentifizierung ermöglicht. Obwohl Cleo einen Patch für die Version 5.8.0.21 veröffentlicht hat, haben Forscher bestätigt, dass dieser unwirksam ist und die Systeme weiterhin ungeschützt lässt.

ProduktCleo-Produkte
Datum12.12.2024 15:58:23
Informationen
  • Trending
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle liegt in der unsachgemäßen Handhabung von Dateien im autorun-Verzeichnis, die automatisch verarbeitet und ausgeführt werden. Spuren in den Protokolldateien zeigen, dass Angreifer speziell präparierte Dateien verwenden, um unbefugte Importe zu starten und PowerShell-Befehle auszuführen. Diese Aktivitäten führen zur willkürlichen Ausführung von Code, wodurch Cyberkriminelle Systeme kompromittieren und ihre Reichweite vergrößern können. Betroffene Installationen befinden sich in der Regel im Root-Dateisystem (C:\LexiCom, C:\VLTrader oder C:\Harmony) oder in Standardverzeichnissen wie C:\Program Files (x86).

Die folgenden Softwareversionen sind anfällig:

  • Cleo Harmony (5.8.0.21 und früher)
  • Cleo VLTrader (5.8.0.21 und früher)
  • Cleo LexiCom (5.8.0.21 und früher)

Empfehlungen

  • Netzwerkexposition einschränken: Platzieren Sie Cleo-Systeme, die dem Internet ausgesetzt sind, umgehend hinter einer Firewall, um externen Zugriff zu verhindern.

  • Indikatoren für eine Kompromittierung (IoCs) überwachen: Überprüfen Sie die Installationsverzeichnisse auf ungewöhnliche Dateien im autorun-Ordner und kontrollieren Sie die Protokolle auf unbefugte Aktivitäten. Achten Sie besonders auf Dateien wie healthchecktemplate.txt oder main.xml, die auf Ausnutzungsversuche hindeuten könnten.

  • Auf aktualisierte Patches warten und diese anwenden: Verfolgen Sie die offiziellen Mitteilungen von Cleo und installieren Sie zeitnah alle zukünftigen Updates, die die Grundursache der Schwachstelle beheben.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *