nnattalli - stock.adobe.com

Actualites

Vulnérabilité exploitée dans les logiciels de transfert de fichiers Cleo

Cleo a révélé et corrigé cette vulnérabilité d'exécution de code à distance à la fin du mois d'octobre, mais les produits de transfert de fichiers managés se sont avérés être des cibles populaires pour les acteurs malveillants.

par
Publié le: 11 déc. 2024

Les menaces contre les logiciels de transfert de fichiers managés ne reculent pas. Dernière illustration en date : des acteurs malveillants exploitent activement une vulnérabilité dans les produits Cleo.

Le 30 octobre, Cleo a publié un avis de sécurité relatif à une vulnérabilité de téléchargement de fichiers sans restriction, référencée CVE-2024-50623. Elle affecte Cleo Harmony, Cleo VLTrader et Cleo LexiCom avant la version 5.8.0.23, qui constituent les produits de transfert de fichiers gérés (MFT) de Cleo. L'éditeur a averti que l'exploitation de la faille pouvait conduire à l'exécution de code à distance et a invité ses clients à passer à la version corrigée.

Dimanche, la société de cybersécurité Huntress a indiqué avoir commencé à observer une activité d'exploitation impliquant CVE-2024-50623. Max Rogers, directeur principal du centre d'opérations sur les menaces de Huntress, a signalé l'activité dans un message sur X, anciennement Twitter, et a averti que l'entreprise observait une exploitation sur des systèmes qui semblaient à jour de correctifs - en version 5.8.0.21 à cette date.

Bien que la portée de l'attaque reste inconnue, les produits MFT se sont révélés être une cible populaire pour les attaquants ces dernières années. En particulier, en 2023, le gang Cl0p a fait des milliers de victimes en exploitant une vulnérabilité inédite dans le produit MoveIt Transfer de Progress Software.

Auparavant, Cl0p avait également exploité une vulnérabilité de type 0day dans le logiciel GoAnywhere MFT de Fortra, ce qui avait entraîné des retombées massives. Des attaquants ont également exploité une vulnérabilité critique de Citrix ShareFile, référencée CVE-2023-24489, l'année dernière, deux mois après que Citrix ait révélé la faille et publié un correctif.

Aujourd'hui, un acteur associé à l'enseigne de ransomware Termite exploiterait la vulnérabilité affectant les produits Cleo. Mais aucun élément publiquement connu ne permet d'établir de lien avec Cl0p. Et de cela d'autant plus que ce dernier s'est doté de capacités d'industrialisation de ses attaques contre les systèmes de gestion de transfert de fichier qui n'apparaissent pas avoir d'équivalent à ce jour. 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)