勒索软件攻击中利用了关键的 Cleo 漏洞

主要观点总结

本文介绍了CISA最新发现的Cleo Harmony、VLTrader和LexiCom文件传输软件中的关键安全漏洞CVE-2024-50623。该漏洞影响了所有5.8.0.21之前的版本，使未经身份验证的攻击者能够远程执行代码。Cleo已发布安全更新并敦促客户尽快升级。此外，文章还提到了与之前的MOVEit Transfer和GoAnywhere MFT中的零日漏洞的Clop数据盗窃攻击相似的勒索软件活动。

关键观点总结

关键观点1: CVE-2024-50623漏洞被勒索软件攻击利用

该漏洞允许未经身份验证的攻击者在在线暴露的服务器上远程执行代码。

关键观点2: Cleo发布安全更新修复漏洞

Cleo已发布安全更新以修复CVE-2024-50623漏洞，敦促客户升级到版本5.8.0.24。

关键观点3: 漏洞利用与之前的攻击相似

文章提到此次勒索软件活动与之前的MOVEit Transfer和GoAnywhere MFT中的零日漏洞的Clop数据盗窃攻击相似。

关键观点4: 恶意软件Malichus被分析

Huntress分析了名为Malichus的恶意软件，该恶意软件目前只部署在Windows设备上，可用于文件传输、命令执行和网络通信。

关键观点5: 广泛的影响和潜在受害者

多家公司的Cleo服务器被入侵，可能存在其他潜在受害者。Sophos的MDR和实验室团队在50多个Cleo主机上发现妥协迹象。

文章预览

根据 CISA 最新发现，确定 Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个关键安全漏洞正在被勒索软件攻击所利用。 此漏洞编号为 CVE-2024-50623，影响 5.8.0.21 之前的所有版本，使未经身份验证的攻击者，能够在在线暴露的易受攻击的服务器上远程执行代码。 Cleo 于 10 月份发布了安全更新来修复该问题，并警告所有客户“立即升级实例”以应对其他潜在的攻击媒介。目前尚未透露 CVE-2024-50623 是在野外的攻击目标。然而，CISA 将该安全漏洞添加到其已知被利用漏洞的目录中，并将其标记为用于勒索软件活动。 在添加到 KEV 目录后，美国联邦机构必须按照 2021 年 11 月发布的具有约束力的操作指令 (BOD 22-01) 的要求，在 1 月 3 日之前提出申请，确保其网络免受攻击。 虽然网络安全机构没有提供有关针对易受 CVE-2024-50623 漏洞，利用的 Cleo 服务器的勒索软 ………………………………