Cleo の脆弱性 CVE-2024-50623 の悪用：Clop ランサムウェア・グループの犯行が濃厚

Clop ransomware claims responsibility for Cleo data theft attacks

2024/12/15 BleepingComputer — 最近の Cleo データ盗難攻撃において、Clop ランサムウェア・グループが、自らの犯行を認めている。このグループは、ゼロデイ・エクスプロイトにより、企業ネットワークに侵入してデータを盗んでいる。Cleo の Cleo Harmony／VLTrader／LexiComは、エンタープライズ・ユーザーが、そのビジネス・パートナーや顧客との間で、安全にファイルを交換するために使用する、マネージド・ファイル転送プラットフォームである。

2024年10月に Cleo は、脆弱性 CVE-2024-50623 を修正している。しかし、この脆弱性の悪用により、無制限のファイルのアップロード／ダウンロードが可能になり、リモート・コード実行が試行されていた。

その一方で、先週にサイバー・セキュリティ企業 Huntress が発見したのは、オリジナルのパッチが不完全であり。セキュリティ・バイパスを積極的に悪用する脅威アクターが、依然として盗難攻撃を成功させていることだった。

この脆弱性を悪用する脅威アクターは、JAVA バックドアをアップロードしてデータ窃取／コマンド実行を達成し、侵害したネットワークへのアクセスを確保していた。

そして、12月13日 (金) に CISA は、Cleo Harmony／VLTrader／LexiCom の深刻な脆弱性 CVE-2024-50623 が、ランサムウェア攻撃で悪用されていることを確認した。しかし、Cleo は、10月に修正したとする欠陥が、悪用されたことを公表しなかった。

Clop が Cleo データ盗難攻撃を主張

今回の攻撃は、Termite ランサムウェアにより実行されたと言われているが、その悪用の形態は、以前に Clop ランサムウェアが実行した攻撃と一致していた。

12月10日 (火) に BleepingComputer は、Clop ランサムウェアと連絡を取り、Huntress が検出した Cleo 脆弱性の悪用と、10 月に修正された脆弱性 CVE-2024-50623 の悪用が、彼らの犯行であることを確認した。Clop は、「Cleo に関しては、私たちのプロジェクトであり、成功裏に完了した」と述べている。

彼らは、「私たちが窃取した情報は、すべてのセキュリティ対策を遵守して保管されている。それらのデータが、政府や医療に関するものだと判明すれば、躊躇うことなく削除する。前回の Moveit のときを思い出してほしい。すべての政府／医療／医療に関連するデータと、州レベルの科学研究のデータは削除された。私たちは規制を遵守している」と付け加えている。

この恐喝グループは、過去の攻撃に関連するデータを、データ・リーク・サーバから削除し、今回の Cleo 攻撃で侵害した、新しい企業のみと協議すると発表している。

そこに記されている文言は、「企業の皆様へ。最近の Cleo 攻撃により、それ以前の攻撃で取得した、すべての企業データへのリンクは無効化され、また、それらのデータはサーバから永久に削除された。私たちは、新しい企業とのみ協議する」というものだ。

BleepingComputer は Clop に尋ねたのは、攻撃が始まった時期と、影響を受けた企業の数、そして、Termite との関係であるが、それらの質問は無視されている。また、13日 (金) には、脆弱性 CVE-2024-50623 の悪用も、Clop の仕業なのかと確認したが、回答は得られなかった。

ファイル転送のゼロデイ攻撃に特化

セキュア・ファイル転送プラットフォームの、未知の脆弱性を狙ってデータ窃盗攻撃を行うことが、Clop の得意分野となっている。

2020年12月に Clop は、Accellion FTA セキュア・ファイル転送プラットフォームのゼロデイを悪用し、約 100の組織に影響を与えた。2023年には、GoAnywhere MFT プラットフォームのゼロデイを悪用し、再び 100社以上の企業からデータを盗むことに成功した。

しかし、Emsisoft のレポートによると、この種の攻撃の中で、最も甚大な被害をもたらしたのは、MOVEit Transfer プラットフォームのゼロデイを悪用し、2,773 の組織からデータを盗んだインシデントだとされる。

現時点において、Cleo 侵害の影響を受けた企業の数は不明である。

Cleo の脆弱性 CVE-2024-50623 ですが、第一報は 2024/12/10 の「Cleo 製品群の脆弱性 CVE-2024-50623 の積極的な悪用：Huntress が PoC を公開」です。ちょっと情報が錯綜している感じがありますが、Clop による素早い侵害が印象的です。よろしければ、Clop で検索も、ご参照ください。