Você sabia que uma vulnerabilidade crítica foi descoberta nos softwares de transferência de arquivos Cleo, como Harmony, VLTrader e LexiCom? Essa falha, chamada de CVE-2024-50623, permite que atacantes não autenticados executem códigos remotamente em servidores vulneráveis. O que isso significa para você e sua empresa? É essencial ficar atento e se atualizar. Neste artigo, vamos abordar tudo que você precisa saber para proteger seus sistemas e evitar possíveis ataques de ransomware. Então, prepare-se e vamos lá!
CISA Confirma Exploração Crítica de Bug no Cleo em Ataques de Ransomware
A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que uma vulnerabilidade crítica no software de transferência de arquivos Cleo está sendo explorada em ataques de ransomware. Essa falha, identificada como CVE-2024-50623, afeta todas as versões anteriores à 5.8.0.21 e permite que atacantes não autenticados executem código remotamente em servidores vulneráveis expostos online.
O Que Você Precisa Saber Sobre a Vulnerabilidade
A Cleo lançou atualizações de segurança para corrigir essa falha em outubro e alertou todos os clientes para atualizarem imediatamente suas instâncias. Embora a empresa não tenha divulgado se a CVE-2024-50623 foi alvo de ataques, a CISA adicionou essa vulnerabilidade ao seu catálogo, destacando que está sendo utilizada em campanhas de ransomware.
Prazos Importantes
Após a adição ao catálogo KEV, as agências federais dos EUA precisam proteger suas redes contra ataques aplicando as correções até 3 de janeiro, conforme exigido pela diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Similaridades com Ataques Anteriores
Os ataques atuais são semelhantes a ataques anteriores de roubo de dados realizados pelo Clop, que exploraram zero-days em MOVEit Transfer, GoAnywhere MFT e Accellion FTA nos últimos anos. Alguns especialistas acreditam que a falha foi explorada pela operação de ransomware Termite, devido ao ataque cibernético a um servidor Cleo exposto da Blue Yonder.
A Exploração da Vulnerabilidade
Pesquisadores de segurança da Huntress descobriram que servidores Cleo totalmente corrigidos ainda estavam sendo comprometidos, provavelmente por meio de um bypass da CVE-2024-50623, que permite que atacantes importem e executem comandos PowerShell ou bash, explorando as configurações padrão da pasta Autorun.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Medidas de Segurança
A Cleo lançou patches para corrigir esse bug zero-day ativamente explorado e instou os clientes a atualizarem para a versão 5.8.0.24 o mais rápido possível. Aqui estão algumas recomendações:
- Atualize para a versão 5.8.0.24 imediatamente.
- Se não puder atualizar, desative o recurso Autorun removendo os arquivos da pasta Autorun nas Opções do Sistema.
| Ação Recomendada | Descrição |
|---|---|
| Atualização | Atualize para a versão 5.8.0.24 para corrigir a vulnerabilidade. |
| Desativar Autorun | Limpe a pasta Autorun para reduzir a superfície de ataque. |
O Que Está em Jogo?
A Huntress identificou pelo menos duas dúzias de empresas cujos servidores Cleo foram comprometidos. Além disso, a equipe da Sophos encontrou indicadores de comprometimento em mais de 50 hosts Cleo, indicando que o problema é mais amplo do que se pensava inicialmente.
O Papel do Malware Malichus
Pesquisadores da Huntress analisaram um malware chamado Malichus, que foi implantado em dispositivos Windows, mas também tem suporte para Linux. Esse malware é usado para transferências de arquivos, execução de comandos e comunicação de rede.
| Característica do Malichus | Descrição |
|---|---|
| Transferência de Arquivos | Permite a movimentação de dados entre sistemas. |
| Execução de Comandos | Possibilita que comandos sejam executados remotamente. |
| Comunicação de Rede | Facilita a comunicação entre o malware e o servidor de controle. |
Conclusão
Em resumo, a vulnerabilidade CVE-2024-50623 nos softwares Cleo é um alerta vermelho. Não dá para ficar parado, esperando que o problema se resolva sozinho. Atualizar para a versão 5.8.0.24 é fundamental para proteger seus sistemas e evitar que sua empresa se torne mais uma vítima de ataques de ransomware.
Lembre-se, a segurança cibernética não é opcional; é uma necessidade. Desative o recurso Autorun se não puder atualizar de imediato e fique sempre atento às atualizações de segurança. A situação é séria e o tempo é essencial.
Por fim, não se esqueça de conferir mais artigos no blog Foco em Sec para se manter informado e preparado para enfrentar os desafios do mundo digital. Segurança é uma jornada, e você não está sozinho nessa!