El grupo de ransomware “Termite”, que recientemente reclamó al proveedor de la cadena de suministro Azul ahí como víctima, puede estar detrás de una actividad de explotación generalizada dirigida a una vulnerabilidad previamente parcheada en el software de transferencia de archivos LexiCom, VLTransfer y Harmony de Cleo.
Actualmente, Cleo está desarrollando un nuevo parche para la falla, pero actualmente no hay nada disponible para el problema, lo que significa que la vulnerabilidad es una vulnerabilidad de día cero bajo ataque activo.
Ataques generalizados
Los ataques parecen haber comenzado el 3 de diciembre y han provocado al menos 10 víctimas en varios sectores, incluidos los de productos de consumo, el transporte por carretera y el transporte marítimo, y la industria alimentaria, según investigadores de Laboratorios cazadora quienes monitorean la actividad. Una búsqueda de sistemas Cleo vulnerables y expuestos a Internet sugiere que el número real de víctimas puede ser mayor, dijo el proveedor de seguridad.
Rápido7 También dijo que ha recibido informes de compromiso y actividad posterior a la explotación que involucran la vulnerabilidad Cleo de múltiples clientes. “El software de transferencia de archivos sigue siendo una objetivo para los oponentesy especialmente para los actores de amenazas con motivación financiera”, escribió Rapid7 en una publicación de blog el 10 de diciembre. La compañía recomendó a las organizaciones afectadas tomar “medidas de emergencia” para mitigar los riesgos relacionados con la amenaza.
Más de 4200 clientes de diversas industrias, como logística y transporte, fabricación y distribución mayorista, utilizan el software Cleo para una variedad de casos de uso. Algunos nombres reconocibles incluyen Brother, New Balance, Duraflame, TaylorMade, Barilla America y Mohawk Global.
Huntress identificó la vulnerabilidad a la que apuntaba Termite como CVE-2024-50623Una vulnerabilidad de ejecución remota de código (RCE) no autenticada en versiones de Cleo Harmony, VLTrader y LexiCom anteriores a la 5.8.0.21. cleo reveló la vulnerabilidad en octubre e instó a los clientes a actualizar inmediatamente los productos afectados a la versión parcheada 5.8.0.21.
Sin embargo, el parche parece haber sido insuficiente, ya que todas las versiones previamente afectadas del software Cleo, incluida la versión parcheada 5.8.0.21, siguen siendo vulnerables al mismo CVE, dijo Huntress. “Esta vulnerabilidad se explota activamente en la naturaleza y los sistemas completamente parcheados que ejecutan la versión 5.8.0.21 aún son explotables”, escribió el investigador de Huntress, John Hammond. “Recomendamos encarecidamente que coloque todos los sistemas Cleo expuestos a Internet detrás de un firewall hasta que se lance un nuevo parche”.
Trabajando en un parche
Cleo reconoció el problema y anunció planes para lanzar un nuevo CVE o identificador para el error. En un comunicado enviado por correo electrónico, un portavoz de la empresa describió la falla como un problema crítico. El comunicado decía que Cleo informó a sus clientes sobre la amenaza y les aconsejó cómo mitigar la exposición hasta que su parche estuviera disponible. “Nuestra investigación está en curso”, dice el comunicado. “Se anima a los clientes a comprobar Página web del boletín de seguridad de Cleo periódicamente para recibir actualizaciones.”
Hammond dijo que el análisis de Huntress de la actividad posterior a la explotación del actor de amenazas mostró que el atacante estaba implementando una funcionalidad similar a un shell web para establecer persistencia en los puntos finales comprometidos. Huntress también observó al actor de amenazas enumerando posibles activos de Active Directory con nltest.exe y otras herramientas de reconocimiento de dominio.
Al comentar sobre Dark Reading, el director de tácticas adversas de Huntress, Jamie Levy, dice que la evidencia disponible apunta a Termite como el probable perpetrador. Al igual que las víctimas de los ataques actuales, Blue Yonder tenía una instancia del software Cleo abierta en Internet, dijo. Termite reclamó a Blue Yonder como una de sus víctimas y pareció confirmarlo al enumerar públicamente archivos pertenecientes a la empresa, señala Levy.
¿El nuevo Cl0p?
“Ha habido rumores de que Termite podría ser el nuevo Cl0p”, dice Levy, y han surgido datos que parecen respaldar estas afirmaciones. Además, las actividades de Cl0p disminuyeron mientras que las de Termite aumentaron. Ambos funcionan de la misma manera. “No estamos realmente en el juego de la atribución, pero no sería nada sorprendente si viéramos un cambio en estas bandas de ransomware en este momento”, dice Levy.
Max Rogers, director senior de operaciones de seguridad de Huntress, describió el nuevo Zero-Day Cleo como algo que permite a los atacantes con el código de explotación acceder fácilmente a los sistemas Cleo. “La acción inmediata más eficaz es garantizar que no se pueda acceder a los sistemas afectados desde Internet, lo que reducirá significativamente el riesgo de explotación”.
Rogers también recomienda que las organizaciones desactiven la función de ejecución automática del software Cleo para limitar la superficie de ataque mientras esperan un parche actualizado. “Sin embargo, actualmente”, afirma, “la única forma garantizada de proteger los sistemas es hacerlos inaccesibles en Internet hasta que se lance un nuevo parche”.