Transfer-Software von Cleo: Hinter Firewall bringen, Patch wirkungslos
Die Datenstransfer-Software von Cleo hatte eine Sicherheitslücke gestopft – jedoch unzureichend. Das Leck wird aktiv angegriffen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Das Unternehmen Cleo stellt Datentransfer-Software her, in der es kürzlich eine Sicherheitslücke ausgebessert hat – vermeintlich. Der Patch reicht nicht aus, die Schwachstelle wird in freier Wildbahn aktiv angegriffen. Bis zur Verfügbarkeit eines wirksamen Updates sollten IT-Verantwortliche Cleo-Server hinter eine Firewall bringen und sie damit schützen.
Die IT-Sicherheitsforscher von Huntress erläutern ihre Beobachtungen in einem aktuellen Blog-Beitrag. Demnach geht es um eine Sicherheitslücke, durch die unbegrenzt Dateien in Cleo Harmony, VLTrader und Lexicom vor den Versionen 5.8.0.21 zur Ausführung von Schadcode aus dem Netz missbraucht werden kann (CVE-2024-50623). In einer eigenen Sicherheitsmitteilung, die am heutigen Dienstagmorgen aktualisiert wurde, schreiben Cleos Entwickler, dass die Installation des jüngsten veröffentlichten Patches weitere Angriffsvektoren für die Schwachstelle abdichten.
IT-Forscher: Patch unwirksam
In etwa zum gleichen Zeitpunkt hat Huntress die eigene Analyse auf Reddit veröffentlicht. Demnach sind auch die gepatchten Versionen 5.8.0.21 noch anfällig. Ein Indiz für eine Kompromittierung (Indicator of Compromise, IOC) sei etwa im "hosts"-Unterverzeichnis zu finden. Die Dateien "main.xml" oder "60282967-dc91-40ef-a34c-38e992509c2c.xml" (der Dateiname tauchte bei mehreren Infektionen auf) mit einem eingebetteten Powershell-kodierten Befehl seien eindeutige Hinweise.
Im Blog-Beitrag aktualisiert Huntress weiterhin die IOCs und fügt weitere hinzu. Ein deutlicher Anstieg an kompromittierten Servern sei seit dem 8. Dezember zu beobachten. Mit einem Proof-of-Concept-Exploit haben die IT-Forscher die Angriffe nachgestellt und fanden dabei heraus, dass die aktuellen Patches unzureichend sind. In Rücksprache mit Cleo kündigte der Hersteller an, so schnell wie möglich neue Patches bereitzustellen.
Bis dahin empfiehlt Huntress, die Angriffsoberfläche zu reduzieren, indem ein Teil der Attacke durch eine Konfigurationsänderung unterbunden wird. Der Schadcode wird durch ein "autoruns"-Verzeichnis ausgeführt; das lasse sich unter "Configure" – "Options" – "Other" durch Löschen des Eintrags im "Autorun Directory"-Feld verhindern. Der unbegrenzt mögliche Datei-Upload wird dadurch jedoch nicht korrigiert. Huntress schreibt daher: "Wir empfehlen dringend, jedwedes dem Internet ausgesetzte Cleo-System hinter eine Firewall zu schieben, bis ein neuer Patch veröffentlicht wurde." Unter den IOCs finden sich auch IP-Adressen, von denen die Powershell-Anweisungen Schadcode nachladen.
Datentransfer-Software steht hoch im Kurs von Cyberkriminellen. Der potenzielle Schaden durch Ransomware-Angriffe oder Lösegelderpressung ist groß. Im vergangenen Jahr hat etwa die kriminelle Vereinigung cl0p im großen Stil Sicherheitslücken der MOVEit Transfer von Progress missbraucht, um sensible Daten von hunderten namhaften Unternehmen zu kopieren. IT-Verantwortliche sollten daher zügig handeln, um nicht Opfer eines Angriffs zu werden.
Cleo hat ein aktualisiertes Sicherheits-Advisory mit der Version 5.8.0.24 der betroffenen Software veröffentlicht. Die sollen die Lücke korrekt schließen. Inzwischen hat Cleo zudem eine neue CVE-Nummer für die missbrauchte Schwachstelle, CVE-2024-55956. Die Cleo-Sicherheitsmitteilung wurde entsprechend umbenannt. Die US-amerikanische IT-Sicherheitsbehörde CISA hat zudem die Lücke in den Known Exploited Vulnerabilities-Katalog aufgenommen.
(dmk)