Sicherheitsforscher warnen, dass Hacker aktiv eine weitere hochriskante Schwachstelle in einer beliebten Dateiübertragungstechnologie ausnutzen, um Massen-Hacks zu starten.
Laut Forschern des Cybersicherheitsunternehmens Huntress betrifft die Schwachstelle mit der Bezeichnung CVE-2024-50623 Software, die vom in Illinois ansässigen Unternehmen für Unternehmenssoftware Cleo entwickelt wurde.
Der Fehler wurde erstmals von Cleo in einem aufgedeckt Sicherheitshinweis am 30. Oktober, in dem gewarnt wurde, dass die Ausnutzung zur Codeausführung aus der Ferne führen könnte. Betroffen sind die Tools LexiCom, VLTransfer und Harmony von Cleo, die häufig von Unternehmen zur Verwaltung von Dateiübertragungen verwendet werden.
Cleo veröffentlichte im Oktober einen Patch für die Sicherheitslücke, aber in ein Blog am Montag Huntress warnte, dass der Patch den Softwarefehler nicht behebe.
John Hammond, Sicherheitsforscher bei Huntress, sagte, das Unternehmen habe seit dem 3. Dezember beobachtet, wie Bedrohungsakteure „diese Software massenhaft ausnutzten“. Er fügte hinzu, dass Huntress – das mehr als 1.700 Cleo LexiCom-, VLTransfer- und Harmony-Server schützt – mindestens 10 Unternehmen entdeckt hat, deren Server wurden kompromittiert.
„Zu den Opferorganisationen gehörten bisher verschiedene Konsumgüterunternehmen, Logistik- und Versandorganisationen sowie Lebensmittellieferanten“, schrieb Hammond und fügte hinzu, dass viele andere Kunden dem Risiko ausgesetzt seien, gehackt zu werden.
Shodan, eine Suchmaschine für öffentlich verfügbare Geräte und Datenbanken, Listen Hunderte von anfälligen Cleo-Servern, von denen sich die meisten in den USA befinden
Cleo hat mehr als 4.200 Kundendarunter das US-Biotechnologieunternehmen Illumina, der Sportschuhriese New Balance und das niederländische Logistikunternehmen Portable.
Huntress hat den Bedrohungsakteur hinter diesen Angriffen noch nicht identifiziert und es ist nicht bekannt, ob Daten von betroffenen Cleo-Kunden gestohlen wurden. Hammond wies jedoch darauf hin, dass das Unternehmen beobachtet habe, wie Hacker „Post-Exploitation-Aktivitäten“ durchführten, nachdem sie anfällige Systeme kompromittiert hatten.
Cleo antwortete nicht auf die Fragen von Tech und hat noch keinen Patch veröffentlicht, der vor dem Fehler schützt. Huntress empfiehlt Cleo-Kunden, alle dem Internet ausgesetzten Systeme hinter eine Firewall zu stellen, bis ein neuer Patch veröffentlicht wird.
Enterprise-Dateiübertragungstools sind ein beliebtes Ziel von Hackern und Erpressergruppen. Im vergangenen Jahr forderte die mit Russland verbundene Ransomware-Bande Clop Tausende Opfer Ausnutzung einer Zero-Day-Schwachstelle im MOVEit Transfer-Produkt von Progress Software. Dieselbe Bande hatte sich zuvor die massenhafte Ausnutzung einer Schwachstelle in der verwalteten Dateiübertragungssoftware GoAnywhere von Fortra zu eigen gemacht, mit der mehr als 130 Organisationen ins Visier genommen wurden.