Los defectos dentro del software de progreso o Goanywhere han interrumpido enormemente las actividades de las empresas en 2023. El espectro de un plano de amenaza similar en el software CLEO para la transferencia de archivos administrados (MFT). De hecho, un defecto crítico se explota activamente en las últimas versiones Lexicom, Vltrader y Harmony de Cleo. Los expertos aconsejan desconectar temporalmente estos sistemas de Internet hasta la publicación de una corrección. Huntress, editora de MDR (Detección y respuesta administrada) fue la primera en informar los ataques Después de detectar hazañas en los sistemas de algunos de sus clientes.

Los sistemas en cuestión utilizaron una versión antigua del software CLEO, vulnerable a una falla corregida en octubre, pero los investigadores de Huntress determinaron que la solución era insuficiente e incluso las iteraciones más recientes del producto eran vulnerables. "Según nuestra telemetría, los servidores clave de al menos 10 compañías se han visto comprometidos, y observamos un aumento notable en las operaciones el 8 de diciembre alrededor de las 07:00 UTC", dijo el equipo de Huntress en su informe. "Sin embargo, después de un primer análisis, encontramos una prueba de operación a partir del 3 de diciembre. Para su parte, los expertos de Rapid7 confirmaron las conclusiones de Huntress y también investigamos los signos de explotación exitosa en los entornos de algunos de sus clientes usan la falla para escribir archivos maliciosos en lugares específicos del servidor, que luego se ejecutan automáticamente por el software.

Índice
  1. Un correctivo ineficaz
  2. Uso abusivo de la función de ejecución automática
  3. Aislar servidores para aliviar el problema

Un correctivo ineficaz

El 24 de octubre, Cleo había publicado un aviso de seguridad para una vulnerabilidad descargar archivos sin restricción, hizo referencia a CVE-2024-50623, potencialmente utilizable para ejecutar un código remoto. El editor aconsejó a los usuarios que actualizaran Harmony, Vltrader y Lexicom a la versión 5.8.0.21 para mitigar la falla. Sin embargo, según Huntress, el parche no corrige todos los ataques y siempre se puede explotar en la versión 5.8.0.21. Los investigadores crearon un POC y compartido con Cleo, quien confirmó el problema y trabaja en una nueva corrección y en actualizaciones. Según un último aviso para el que aún no se ha asignado el número CVE, la solución estará disponible en la versión 5.8.0.23.

Uso abusivo de la función de ejecución automática

Huntress piensa que una de las exploits abusa de la vulnerabilidad de descarga del archivo para enviar un archivo llamado HealthCheckTemplate.txt En un subdirectorio llamado Aplicación del archivo de autocaravana. Los archivos presentes en la carpeta se tratan automáticamente mediante aplicaciones clave. Después de la inspección, este archivo malicioso invoca la función de importación nativa del software CLEO para procesar otro archivo presentado en el registro temporal del disco y llamado Lexicom6836057879780436035.tmp (El nombre puede variar de una hazaña a otra). A pesar de su extensión .tmpEste archivo es en realidad un archivo zip que contiene un subdirectorio llamado anfitriones Con un archivo llamado Mail.xml. El archivo .xml Sirve como un archivo de configuración para una función que parece permitir, crear otra conexión a un buzón en el software CLEO. Cuando se importa, este archivo ejecuta los comandos almacenados en su declaración, en este caso un comando malicioso de PowerShell.

"Este proceso está conectado a una dirección IP externa para recuperar archivos JAR para la explotación continua", dijeron los investigadores. “Estos archivos JAR contienen características del tipo de webshell para la persistencia en la terminal. Léxico.dbg debe contener trazas en los archivos de ejecución automáticos ejecutados. Los investigadores también vieron a los atacantes llevar a cabo un reconocimiento del Active Directory utilizando la herramienta de comando nltest.exePresente en los servidores de Windows y se usa para enumerar los controladores de dominio.

Aislar servidores para aliviar el problema

Mientras espera la disponibilidad de la solución, es posible desactivar la función de directorio de ejecución automática en la configuración del software CLEO. Para esto, Huntress explica que debemos seleccionar "Opciones" en el menú "Configuración" del software y eliminar el contenido del campo "Directorio de ejecución automática" (directorio Autorun) en el panel "Otro". Sin embargo, esta eliminación no evitará la explotación de la vulnerabilidad de la descarga arbitraria de los archivos. Según Rapid7, el mejor enfoque es aislar servidores equipados con Internet con el software en cuestión o colocar un firewall frente a ellos.

Los equipos de seguridad también deben buscar rastros de esta hazaña en sus servidores clave inspeccionando el archivo del diario o buscando la presencia de un archivo Hand.xml o un archivo 60282967-DC91-40EF-A34C-38E992509C2C.XML que contiene comandos de PowerShell. Este último ataque contra productos clave muestra que las soluciones de transferencia de archivos administrados (MFT) son siempre un objetivo de interés para los atacantes. Los grupos de ransomware ya han explotado vulnerabilidades en los dispositivos de transferencia de archivos de aceleración (TLC) en 2020 y 2021, en servidores Fortra/Linoma Goanywhere MFT a principios de 2023 y en implementaciones de transferencia de MoveIT en mayo de 2023.