Grootschalig misbruik van kritiek lek in Cleo file transfer software gemeld
Aanvallers maken op grote schaal misbruik van een kritieke kwetsbaarheid in de file transfer software van Cleo, zo meldt securitybedrijf Huntress. Cleo heeft een beveiligingsupdate uitgebracht, maar volgens onderzoekers wordt het probleem daar niet mee verholpen. Organisaties die van Cleo’s LexiCom, VLTransfer en Harmony software gebruikmaken worden opgeroepen de systemen niet vanaf internet toegankelijk te maken en achter een firewall te plaatsen.
Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Het bedrijf claimt meer dan 4200 klanten wereldwijd te hebben. Een 'unrestricted file upload and download' kwetsbaarheid (CVE-2024-50623) in Cleo Harmony, Cleo VLTrader en Cleo LexiCom maakt remote code execution mogelijk, aldus een eind oktober verschenen beveiligingsbulletin van Cleo.
Securitybedrijf Huntress ontdekte op 3 december naar eigen zeggen grootschalig misbruik van de kwetsbaarheid, waardoor een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen kan uitvoeren. Verder onderzoek wees uit dat de door Cleo uitgerolde beveiligingsupdate het probleem niet verhelpt. Zes uur geleden kwam Cleo met een update voor het beveiligingsbulletin, waarin het klanten oproept naar versie 5.8.0.21 te updaten. Volgens Huntress is deze versie nog steeds kwetsbaar. Het securitybedrijf adviseert organisaties om de kwetsbare file transfer software achter een firewall te plaatsen totdat er een nieuwe patch beschikbaar is.
Update
Securitybedrijf Rapid7 meldt ook grootschalig misbruik van de kwetsbaarheid. Inmiddels zou Cleo voor de misbruikte kwetsbaarheid een nieuw CVE-nummer hebben aangevraagd, meldt beveiligingsonderzoeker Kevin Beaumont."Cleo has identified an unrestricted file upload and download vulnerability (CVE-2024-50623) that could lead to remote code execution."
Waarom vermelden ze dan niet of het unauthenticated of authenticated is? Slordig...
Hopen dat deze wel het probleem oplost.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?