安全热点周报：新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击

12月13日，黑客正在积极利用 Cleo 管理文件传输软件中的零日漏洞来侵入公司网络并进行数据盗窃攻击。

该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中，该漏洞允许不受限制的文件上传和下载，从而导致远程代码执行。Cleo MFT 漏洞影响 5.8.0.21 及更早版本，是之前修复的漏洞 CVE-2024-50623 的绕过方法，Cleo于 2024 年 10 月解决了该漏洞。然而，修复并不完整，威胁行为者得以绕过该漏洞并继续利用它进行攻击。

Huntress 安全研究人员首次发现了Cleo MFT 软件的主动攻击，他们还在一篇新文章中发布了概念验证 (PoC) 漏洞，警告用户采取紧急行动。Huntress 解释道：“该漏洞正在被广泛利用，运行 5.8.0.21 的完全修补系统仍然可以被利用。”有证据表明， CVE-2024-50623被积极利用始于2024年12月3日，12月8日观察到的攻击量显著上升。虽然攻击原因尚不清楚，但这些攻击与美国、加拿大、荷兰、立陶宛和摩尔多瓦的以下 IP 地址有关。

攻击利用 Cleo 漏洞将名为“healthchecktemplate.txt”或“healthcheck.txt”的文件写入目标端点的“autorun”目录，这些文件由 Cleo 软件自动处理。当发生这种情况时，文件会调用内置的导入功能来加载其他有效负载，例如包含 XML 配置（“main.xml”）的 ZIP 文件，其中包含将要执行的 PowerShell 命令。PowerShell 命令与远程 IP 地址建立回调连接、下载额外的 JAR 负载并擦除恶意文件以阻碍法医调查。Huntress 表示，在后利用阶段，攻击者使用“nltest.exe”枚举 Active Directory 域，部署 webshell 以在受感染系统上进行持久远程访问，并使用 TCP 通道最终窃取数据。当完成对系统的利用后，威胁行为者会执行 PowerShell 命令来删除攻击中的文件，例如“C:\LexiCom\cleo.1142”。

Huntress 的遥测表明，这些攻击影响了至少十个使用 Cleo 软件产品的组织，其中一些组织从事消费品、食品行业、卡车运输和航运业务。Huntress 指出，在其可见范围之外还有更多的潜在受害者，Shodan 互联网扫描返回了 390 个 Cleo 软件产品的结果，绝大多数（298 个）易受攻击的服务器位于美国。

鉴于 CVE-2024-50623 的活跃利用以及当前补丁（版本 5.8.0.21）的无效性，用户必须立即采取措施降低受到攻击的风险。建议使用防火墙，并限制对 Cleo 系统的外部访问。

参考链接：

https://www.bleepingcomputer.com/news/security/new-cleo-zero-day-rce-flaw-exploited-in-data-theft-attacks/