Cleo, azienda leader nel software di trasferimento file gestito (MFT), è al centro di una vulnerabilità critica (CVE-2024-50623) che ha già permesso a cybercriminali di condurre attacchi di esecuzione remota di codice (RCE) e furti di dati. La falla riguarda i prodotti Cleo LexiCom, VLTrader e Harmony, esponendo migliaia di sistemi in tutto il mondo a rischi significativi.
La vulnerabilità e gli attacchi documentati
Il problema risiede in un difetto che consente il caricamento di file non autenticati, sfruttabile per installare malware e ottenere accesso remoto ai sistemi compromessi. Gli attacchi sono iniziati il 3 dicembre 2024, con un picco l’8 dicembre, e hanno preso di mira settori come logistica, distribuzione alimentare e prodotti di consumo.
Huntress e altre società di sicurezza hanno identificato il malware utilizzato dagli aggressori, che sfrutta il caricamento di file XML nella directory “autorun”. Questi file eseguono comandi PowerShell o bash, scaricano ulteriori payload come file JAR malevoli e rimuovono le tracce per ostacolare le indagini forensi.
Tra i responsabili degli attacchi è stato individuato il gruppo Termite, noto per attacchi ransomware, che ha recentemente compromesso Blue Yonder, un fornitore di software per la supply chain.
Azioni correttive e consigli per gli utenti
Cleo ha rilasciato patch per i prodotti vulnerabili (versione 5.8.0.24), ma molti sistemi rimangono esposti. È essenziale adottare immediatamente le seguenti misure:
- Applicare le patch più recenti.
- Proteggere i sistemi esposti con firewall e limitare l’accesso remoto.
- Controllare directory e log per identificare file sospetti o attività non autorizzate.
Cleo ha inoltre fornito script per individuare ed eliminare file XML malevoli e raccomanda di disattivare la funzionalità “autorun”.
La vulnerabilità nei prodotti Cleo evidenzia l’importanza di mantenere aggiornati i sistemi e di monitorare attentamente l’attività nei server esposti. L’azione combinata di patch tempestive e buone pratiche di sicurezza è fondamentale per proteggere le aziende da attacchi sempre più sofisticati.
