La faille de sécurité critique dans les produits Cleo est exploitée par le ransomware Clop !
En ce moment, l'éditeur Cleo est dans la tourmente puisqu'une faille de sécurité critique présente dans plusieurs de ses produits est exploitée par le gang de ransomware Clop ! Faisons le point sur cette menace.
Les produits de Cleo sont des solutions permettant de faciliter le stockage et le partage de fichiers.
La vulnérabilité qui fait trembler les utilisateurs de produits Cleo est associée à la référence CVE-2024-50623. Cette faille de sécurité critique permet à un attaquant distant non authentifié d'exécuter du code à distance sur les serveurs vulnérables et accessibles depuis Internet.
"Un utilisateur non authentifié peut importer et exécuter des commandes Bash ou PowerShell arbitraires sur le système hôte en exploitant les paramètres par défaut du répertoire Autorun.", peut-on lire sur le site du NIST.
Cette faille de sécurité affecte les produits suivants :
- Cleo Harmony avant la version 5.8.0.24
- Cleo VLTrader avant la version 5.8.0.24
- Cleo LexiCom avant la version 5.8.0.24
Vous l'aurez compris, c'est bien le correctif de sécurité correspondant à la version 5.8.0.24 qui doit être installé pour se protéger de cette CVE. Cleo avait déjà publié un correctif pour cette faille de sécurité le 24 octobre dernier, mais il s'avère qu'il est inefficace. Il est possible de contourner ce correctif afin de continuer d'exploiter cette faille de sécurité.
Des cyberattaques menées par le gang de ransomware Clop
Tout a commencé par une alerte lancée par l'équipe d'Huntress dans un nouveau rapport de sécurité : "D'après notre télémétrie, les serveurs Cleo d’au moins 10 entreprises ont été compromis, et nous avons observé une augmentation notable de l'exploitation le 8 décembre vers 07:00 UTC".
Vendredi dernier, l'agence américaine CISA a ajoutée cette CVE à son catalogue des vulnérabilités connues et exploitées, ce qui signifie que des pirates l'exploitent dans des cyberattaques.
Cela semble bien être le cas puisque le gang de ransomware Clop a indiqué au site BleepingComputer être à l'origine de plusieurs vols de données grâce à cette faille de sécurité dans les produits Cleo. Pour eux, elle représente l'opportunité de faire de nombreuses nouvelles victimes.
D'ailleurs, le gang de ransomware Clop a fait de la compromission des services de stockage de fichiers sa spécialité. Cette histoire liée aux produits Cleo n'est pas sans rappeler les incidents de sécurité liés à la solution MOVEit Transfer. Ce même gang de cybercriminels avait déjà un coup d'avance et avait pu exploiter cette vulnérabilité pour voler des données. Nous pouvons également citer une vulnérabilité dans GoAnywhere MFT.
