top of page
Photo du rédacteurLoïc Castel

Cleo MFT Software RCE - CVE-2024-50623

Dernière mise à jour : 18 déc. 2024

Auteur : L. Castel

Historique des versions :

  • 2024-12-17 (1.0) : Version initiale

  • 2024-12-18 (1.1) : Mise à jour de l'article afin de documenter une nouvelle méthode d'exploitation

Vulnérabilité sur la solution logicielle Cleo

Cleo MFT (Cleo Harmony, VLTrader, et LexiCom) est une solution logicielle largement utilisée pour l’intégration de données et l’échange de fichiers sécurisés entre systèmes d’entreprise. Elle est particulièrement prisée dans des secteurs tels que la logistique, la finance et la santé, où le transfert fiable et sécurisé des données est essentiel. Cleo propose une plateforme pour connecter des systèmes et des applications via des protocoles tels que FTP, SFTP et AS2, rendant son bon fonctionnement critique pour de nombreuses organisations.


Une vulnérabilité critique, référencée CVE-2024-50623, a été récemment identifiée dans le logiciel Cleo, permettant à des attaquants de l’exploiter activement. Cette faille concerne spécifiquement les versions de Cleo utilisées pour les transferts de fichiers, où une mauvaise gestion de la sécurité dans le traitement des requêtes HTTP expose les systèmes à des attaques de type Remote Code Execution (RCE). La faille, cataloguée avec un score CVSS de 9.8, donne aux attaquants la possibilité d’exécuter du code malveillant à distance, compromettant ainsi les systèmes affectés.

 

⚠️ Il est important de mentionner que cette vulnérabilité a été découverte suite à son exploitation par des acteurs malveillants, ce qui la rends d’autant plus urgente à adresser puisque cela signifie que des criminels disposent de code d’exploitation depuis quelques temps.

 

Récemment, une nouvelle méthode de compromission ciblant le logiciel Cleo a été identifiée. Les attaquants déploient un implant d’accès à distance (RAT) modulaire en Java, permettant une prise de contrôle des systèmes infectés en plusieurs étapes.


Cette attaque se déroule en plusieurs étapes :

1. Injection initiale : Les assaillants exploitent des vulnérabilités dans Cleo pour injecter un fichier JAR encodé.

2. Activation du RAT : Une fois le fichier exécuté, le RAT modulaire s’installe, offrant aux attaquants des capacités étendues, notamment la reconnaissance du système, l’exfiltration de fichiers, l’exécution de commandes et des communications chiffrées avec un serveur de commande et de contrôle (C2).

La structure modulaire de ce malware lui permet d’adapter ses fonctionnalités en fonction des objectifs des attaquants, rendant sa détection et sa neutralisation plus complexes. Lien vers l'article : https://www.rapid7.com/blog/post/2024/12/11/etr-modular-java-backdoor-dropped-in-cleo-exploitation-campaign


Quelle version est vulnérable ?

Produits concernés 

  • Les versions de Cleo Harmony, VLTrader et LexiCom antérieures et égaux à la version 5.8.0.21 sont vulnérables.

  • Il est important de noter qu’il n’existe pas de patch efficace au moment de l’écriture de cet article, d’où la nécessité de filtrer l’accès à Internet aux solutions Cleo en attendant la mise à disposition d’un patch

Scénarios à risque 

  • Les organisations ayant exposé leurs interfaces web Cleo à internet sans filtrage strict.

  • Des versions non mises à jour du logiciel.

  • Une configuration standard non durcie, comme des identifiants par défaut ou l’absence de journalisation active.


Comment l’exploiter ?

Scénarios et resources d’exploitation

Les chercheurs en sécurité ont démontré que cette faille peut être exploitée via des requêtes HTTP malicieuses. Voici un résumé de l’exploitation :

  1. Étape 1 : L’attaquant identifie une instance Cleo exposée sur internet à l’aide d’outils de scan comme Shodan.

  2. Étape 2 : Une requête HTTP spécialement conçue est envoyée pour exploiter une faille dans le traitement des entrées utilisateur par Cleo.

  3. Étape 3 : Si l’exploitation réussit, l’attaquant peut exécuter des commandes système avec les privilèges de l’application, ouvrant la voie à un accès complet au système ou au réseau.


Un “proof of concept" a par ailleurs été publié par la société watchTowr :

Source: https://labs.watchtowr.com/cleo-cve-2024-50623/ Capture montrant une lecture arbitraire de fichier Windows (win.ini)

La société a également publié une explication de la vulnérabilité : https://labs.watchtowr.com/cleo-cve-2024-50623/


Détails

Nous avons vu plus haut la capture d’écran montrant une lecture arbitraire de fichier sur le système Windows hébergeant une des solutions mentionnées.

Il est possible, en changeant les paramètres de l’entête VLSync, de transformer cette lecture en une écriture arbitraire, écrivant le contenu du corp de la requête HTTP à n’importe quel emplacement sur le disque, par exemple ici dans un fichier poc.txt :

POST /Synchronization HTTP/1.1
Host: 192.168.X.X:5080
VLSync: ADD;l=Ab1234-RQ0258;n=VLTrader;v=5.7.0.0;a=192.168.X.X;po=5080;s=True;b=False;pp=myEncryptedPassphrase;path=..\\..\\..\\poc.txt
Content-Type: multipart/form-data; boundary=-----1337
Content-Length: 10

Poc test

La société Huntress a décrit l’abus de cette vulnérabilité par des acteurs malveillant en poussant leur malware dans le dossier autorun de Cleo, permettant ainsi l’exécution de leur charge malveillante.

C’est donc la seconde partie de l’exploitation impliquant le mécanisme d’autorun de Cleo qui permet l’exécution de commandes malveillante. Il est d’ailleurs possible de le désactiver, même si cela ne corrigera pas la faille de lecture/écriture arbitraire :


Menu permettant la configuration du paramètre autorun

Comment détecter la vulnérabilité (boîte noire) ?

Il est crucial pour les administrateurs systèmes de vérifier si leur instance Cleo est vulnérable. Voici les étapes de détection :

  1. Recherche des systèmes exposés : Utilisez des outils comme Shodan ou Nmap pour identifier les ports ouverts associés à Cleo (généralement liés aux transferts de fichiers).

  2. Vérification des versions : Assurez-vous que la version installée n’est pas affectée par la vulnérabilité. Consultez les dernières mises à jour ou bulletins de Cleo.

  3. Tests spécifiques : Utilisez des outils d’analyse de vulnérabilités (comme Nessus ou OpenVAS) pour détecter toute faille connue associée à Cleo.


La vulnérabilité est-elle exploitée en ce moment même ?

Oui, selon les informations disponibles, cette vulnérabilité est activement exploitée dans la nature. Des attaquants ciblent déjà des systèmes Cleo exposés, en particulier ceux qui ne sont pas à jour ou mal configurés.

Les chercheurs de Huntress ont confirmé avoir observé plusieurs cas où des instances Cleo compromises ont été utilisées pour déployer des malwares ou pour accéder à des données sensibles.

Indicateurs d’exploitation active

Pic d’activité réseau suspecte : Transferts de fichiers inattendus ou non autorisés depuis votre plateforme Cleo.

Commandes non reconnues dans les journaux : Indices de l’exécution de commandes à distance par un attaquant.

Comportements inhabituels sur les systèmes : Ajout de nouveaux utilisateurs, changements de configuration ou modifications de fichiers critiques.


Il est également possible de détecter son exploitation en utilisant les indicateurs de compromission (IoC) disponibles dans le chapitre ci-dessous.


Comment détecter son exploitation à partir des indicateurs connus ?

Il est recommandé d’effectuer du “threat hunting” ou d’ajouter les indicateurs suivants aux outils de détection en place :

Adresses IP suspectes

  • 176.123.5[.]126 - AS 200019 (AlexHost SRL) - Moldova

  • 5.149.249[.]226 - AS 59711 (HZ Hosting Ltd) - Netherlands

  • 185.181.230[.]103 - AS 60602 (Inovare-Prim SRL) - Moldova

  • 209.127.12[.]38 - AS 55286 (SERVER-MANIA / B2 Net Solutions Inc) - Canada

  • 181.214.147[.]164 - AS 15440 (UAB Baltnetos komunikacijos) - Lithuania‍

  • 192.119.99[.]42 - AS 54290 (HOSTWINDS LLC) - United States

Fichiers malveillants identifiés

  • 60282967-dc91-40ef-a34c-38e992509c2c.xml : Fichiers XML préparant la phase de post-exploitation

  • healthchecktemplate.txt or healthcheck.txt : Fichier autorun utilisés

Comportements réseau anormaux

  • Requêtes HTTP POST répétées vers l’endpoint /Synchronization

Processus système suspects

  • Exécution de javaw.exe (processus Java) ayant comme enfant cmd.exe avec argument contenant powershell et ayant comme parent les processus suivants :

    • VLTrader

    • lexicom

    • Harmony

    • VersaLex

Entrées de journal inhabituelles

  • Erreurs fréquentes dans les journaux de l’application, notamment liées à powershell

Ex dans les fichiers présents (C:\LexiCom\logs\LexiCom.xml, ou chemin variant selon la solution):

Executing 'cmd.exe /c "powershell -NonInteractive -EncodedCommand [..]'

Recommandations

Les entreprises utilisant Cleo doivent immédiatement vérifier leurs systèmes pour détecter des signes d’exploitation, comme des requêtes HTTP suspectes ou des activités anormales. Si votre système est compromis, il est essentiel de :

  • Isoler le serveur affecté.

  • Informer vos équipes de réponse à incident.

  • Désactiver le mécanisme d’autorun de Cleo

  • Appliquer le correctif dès qu’il sera disponible


Cette exploitation en cours renforce l’urgence de mettre en place des contre-mesures rapidement pour protéger vos infrastructures et données critiques.


Conclusion

Cette vulnérabilité sur Cleo est un rappel de l’importance des bonnes pratiques en matière de sécurité, comme la gestion des accès, les mises à jour régulières et les audits de sécurité. Les organisations utilisant Cleo doivent agir rapidement pour patcher leurs systèmes et réduire leur exposition aux attaques. Si votre entreprise utilise Cleo, c’est le moment de mobiliser vos équipes pour protéger vos données et votre infrastructure.

Pour détecter rapidement les failles potentielles et éviter toute exploitation, les scans de vulnérabilités Saferscan vous permettent d’identifier vos systèmes à risque en quelques minutes. Ces scans couvrent les principales vulnérabilités connues, y compris celles liées à Cleo.


En cas de compromission ou d’incident, les équipes de réponse à incident de Safercy peuvent intervenir rapidement pour analyser l’attaque, contenir la menace et rétablir vos systèmes. Protégez vos données et réduisez les temps d’interruption en faisant appel à des experts en cybersécurité.

Pour en savoir plus sur ces services ou demander un audit, contactez Safercy dès aujourd’hui.


Sources

102 vues0 commentaire

Comentarios


bottom of page