Cleo 零日漏洞引发数据窃取攻击

主要重点

• 新发现的 Cleo 管理文件传输软件漏洞（CVE-2024-50623）已被利用进行数据窃取攻击。
• 攻击已针对至少 10 个组织自 12 月 3 日以来展开。
• 攻击者使用来自美国、加拿大、摩尔多瓦、立陶宛和荷兰的 IP 地址，针对易受攻击的 Cleo LexiCom、Harmony 和 VLTrader 系统。
• 建议系统管理员实施防火墙并限制外部访问，等待 Cleo 正式修复。

根据 的报导，骇客已经开始利用一个不当配置的 Cleo管理文件传输软件漏洞，该漏洞被跟踪为 CVE-2024-50623，进行数据窃取自攻击。自 12 月 3 日以来，这些攻击已针对至少 10 个组织展开。

骇客利用来自美国、加拿大、摩尔多瓦、立陶宛和荷兰的 IP 地址，针对易受攻击的 Cleo LexiCom、Harmony 和 VLTrader实例，促使在目标端点的自动运行目录中写入新文件，并触发部署包含 XML 配置的 ZIP 文件。这些文件可以执行获取有效负载的恶意 PowerShell命令并删除档案。根据 Huntress 的分析，除了进行 Active Directory 域枚举，骇客还试图通过 Web Shell 确保持久性，并通过 TCP 通道执行数据窃取。

研究人员建议系统管理员立即实施防火墙并限制外部访问，直到 Cleo 提供官方修复方案。与此同时，这一系列活动被网络安全专家 Kevin Beaumont 与 相关联。该组织曾对美国供应链管理平台 Blue Yonder 发起攻击。

透过加强系统安全措施，组织可以减少被攻击的风险，保护机密数据的安全。