Les acteurs malveillants ciblent les produits de transfert de fichiers gérés Cleo via deux vulnérabilités, dont une nouvelle faille zero-day.
Cleo a publié pour la première fois un avis de sécurité et un correctif fin octobre pour CVE-2024-50623, une vulnérabilité de téléchargement et de téléchargement de fichiers sans restriction affectant les produits Cleo’s Harmony, VLTrader et LexiCom. Dès dimanche dernier, le fournisseur de sécurité gérée Huntress a averti que les acteurs malveillants ciblaient les instances des produits Cleo dans le cadre d’activités d’exploitation liées au CVE-2024-50623, même celles qui étaient déjà corrigées. Huntress a ensuite publié lundi un article de blog recommandant aux clients Cleo de “déplacer tous les systèmes Cleo exposés à Internet derrière un pare-feu jusqu’à ce qu’un nouveau correctif soit publié”.
Mercredi soir, Cleo a publié la version 5.8.0.24 pour Harmony, LexiCom et VLTrader, indiquant dans les notes de mise à jour qu’elle corrigeait une vulnérabilité critique avec un CVE en attente distinct du CVE-2024-50623. La faille peut, selon un avis de sécurité, « permettre à un utilisateur non authentifié d’importer et d’exécuter des commandes bash ou PowerShell arbitraires sur le système hôte en exploitant les paramètres par défaut du répertoire Autorun ».
Le chercheur principal en sécurité de Huntress, John Hammond, a déclaré dans un article X que la version 5.8.0.24 semble résoudre la nouvelle vulnérabilité zero-day, mais pas CVE-2024-50623. Informa TechTarget Editorial avait alors demandé à Cleo si la nouvelle vulnérabilité était liée à une activité de menace précédemment signalée, mais la société a refusé de répondre.
On ne sait pas exactement quels acteurs de la menace ciblent les instances Cleo, mais plusieurs fournisseurs de cybersécurité ont observé un nombre croissant d’attaques cette semaine.
Les rédacteurs de TechTarget, Rob Wright et Alex Culafi, discutent de l’activité des menaces ciblant les instances Cleo dans cet épisode de Risque et répétition podcast.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.