CVE-2024-55956 est activement exploitée dans des environnements réels, ciblant les outils de transfert de fichiers de Cleo : Harmony, VLTrader et LexiCom. Un groupe de ransomware bien connu, Cl0p, a revendiqué la responsabilité de ces attaques, qui exploitent une vulnérabilité permettant l’exécution de code à distance. La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté cette vulnérabilité à son catalogue KEV (Known Exploited Vulnerabilities) et a ordonné aux agences fédérales d’appliquer le correctif avant janvier 2025.
| Produit | Produits Cleo |
| Date | 18/12/2024 09:25:52 |
| Informations |
|
Résumé technique
La vulnérabilité, identifiée sous le nom de CVE-2024-55956, affecte les versions de Cleo Harmony, VLTrader et LexiCom antérieures à la 5.8.0.24. L’exploitation survient en raison d’une gestion inappropriée des paramètres par défaut dans le répertoire Autorun, permettant à des attaquants non authentifiés d’importer et d’exécuter des commandes Bash ou PowerShell arbitraires. Cette faille a une cause racine différente de celle de la CVE-2024-50623, bien que les deux vulnérabilités ciblent une base de code et des points de terminaison similaires. Les attaquants ont exploité cette faiblesse pour mener des activités de reconnaissance, exécuter des commandes, exfiltrer des fichiers sensibles et déployer des ransomwares, avec un impact significatif sur les organisations touchées.
Recommandations
Mise à jour vers la dernière version sécurisée : Pour Harmony, VLTrader et LexiCom, mettez immédiatement à jour vers la version 5.8.0.24 ou ultérieure.
[Callforaction-THREAT-Footer]
Leave a Reply