Exploitation des vulnérabilités dans Cleo Harmony, VLTrader et LexiCom

ISGroup Cybersecurity

Une attaque active cible actuellement les logiciels Cleo Harmony®, VLTrader® et LexiCom®. Ces solutions largement utilisées pour la gestion du transfert de fichiers sont vulnérables à la CVE-2024-50623, une faille permettant l’exécution de code à distance (RCE) sans authentification. Bien que Cleo ait publié un correctif pour la version 5.8.0.21, les chercheurs ont confirmé que celui-ci est inefficace, laissant les systèmes toujours exposés.

ProduitProduits Cleo
Date12/12/2024 15:58:23
Informations
  • Tendance
  • Exploitation active

Résumé technique

La vulnérabilité réside dans la gestion inappropriée des fichiers dans le répertoire autorun, qui sont traités et exécutés automatiquement. Les traces détectées dans les fichiers journaux montrent que les attaquants utilisent des fichiers spécialement conçus pour lancer des importations non autorisées et exécuter des commandes PowerShell. Ces activités conduisent à l’exécution arbitraire de code, permettant aux cybercriminels de compromettre les systèmes et d’étendre leur portée. Les installations concernées se trouvent généralement dans le système de fichiers racine (C:\LexiCom, C:\VLTrader ou C:\Harmony) ou dans des répertoires standard tels que C:\Program Files (x86).

Les versions logicielles suivantes sont vulnérables :

  • Cleo Harmony (5.8.0.21 et versions antérieures)
  • Cleo VLTrader (5.8.0.21 et versions antérieures)
  • Cleo LexiCom (5.8.0.21 et versions antérieures)

Recommandations

  • Limiter l’exposition au réseau : placer immédiatement les systèmes Cleo exposés à Internet derrière un pare-feu pour empêcher tout accès externe.

  • Surveiller les indicateurs de compromission (IoC) : vérifier les répertoires d’installation à la recherche de fichiers inhabituels dans le dossier autorun et examiner les journaux pour détecter toute activité non autorisée. Prêter une attention particulière aux fichiers tels que healthchecktemplate.txt ou main.xml qui pourraient indiquer des tentatives d’exploitation.

  • Attendre et appliquer les correctifs mis à jour : suivre les communications officielles de Cleo et appliquer rapidement toute mise à jour future corrigeant la cause profonde de la vulnérabilité.

[Callforaction-THREAT-Footer]