EtiAmmos - stock.adobe.com

Actualites

Exploitation de la vulnérabilité Cleo : le retour de Cl0p

Le gang a confirmé être à l’origine de l’exploitation de la vulnérabilité CVE-2024-50623 affectant les systèmes de transfert de fichier managé de Cleo. De quoi renvoyer à ses exploits répétés de 2023.

Valéry Rieß-Marchive
par
Publié le: 16 déc. 2024

Le 30 octobre, Cleo publiait un avis de sécurité relatif à une vulnérabilité de téléchargement de fichiers sans restriction, référencée CVE-2024-50623. Elle affecte Cleo Harmony, Cleo VLTrader et Cleo LexiCom jusqu’à la version 5.8.0.23 lesquels constituent les produits de transfert de fichiers gérés (MFT) de Cleo. L’éditeur, qui vient de publier la version 5.8.0.24, a averti que l’exploitation de la faille pouvait conduire à l’exécution de code à distance et a invité ses clients à passer à la version corrigée.

Initialement, l’enseigne Termite a été soupçonnée d’exploiter cette vulnérabilité. Mais comme plusieurs experts le craignaient, il semble plutôt qu’il s’agisse de Cl0p. 

Les opérateurs du groupe, aussi suivi sous la référence TA505, ont ainsi publié un message, sur leur vitrine, annonçant la suppression des données de toutes leurs précédentes victimes, « en raison d’évènements récents (l’attaque de Cleo) », et promettant de « seulement travailler avec de nouvelles entreprises ».

Le groupe Cl0p a par ailleurs confirmé à nos confrères de Bleeping Computer avoir conduit une campagne d’exploitation de la vulnérabilité CVE-2024-50623 : « c’était notre projet […] qui a été conduit avec succès ».

Si le groupe était soupçonné, c’est que la campagne portait sa marque. En 2023, le gang Cl0p a fait des milliers de victimes en exploitant une vulnérabilité inédite dans le produit MoveIt Transfer de Progress Software.

Auparavant, Cl0p avait également exploité une vulnérabilité de type 0day dans le logiciel GoAnywhere MFT de Fortra, ce qui avait entraîné des retombées massives. Des attaquants ont également exploité une vulnérabilité critique de Citrix ShareFile, référencée CVE-2023-24489 l’année dernière, deux mois après que Citrix ait révélé la faille et publié un correctif.

En 2023, Cl0p a montré qu’il avait développé des capacités sans pareil d’industrialisation de ses attaques contre des systèmes abritant des données potentiellement sensibles, affectés par des vulnérabilités inédites. La surprise résidait surtout dans le fait qu’il n’en profite pas plus. Il pourrait bien avoir marqué son grand retour aux affaires.

Pour approfondir sur Menaces, Ransomwares, DDoS