+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Le groupe C10p prend crédit pour la vulnérabilité Cleo (/showthread.php?tid=4785)
Le groupe C10p prend crédit pour la vulnérabilité Cleo - Omnous_Luminae - 16-12-2024
Un groupe de rançongiciels notoire revendique les récentes attaques exploitant des vulnérabilités dans les produits de transfert de fichiers du développeur de logiciels d’entreprise Cleo.
Les attaques ciblent des vulnérabilités affectant les outils de transfert de fichiers Harmony, VLTrader et LexiCom de Cleo. Ces exploitations ont été observées depuis le 3 décembre. Les vulnérabilités permettent à des attaquants non authentifiés d’exécuter du code à distance. Lors des attaques récentes, les attaquants ont probablement cherché à obtenir des fichiers d’organisations utilisant ces logiciels vulnérables.
Lorsque l’exploitation des failles a été révélée, la société de cybersécurité Huntress a rapporté que les attaques impliquaient la vulnérabilité CVE-2024-50623, que Cleo avait tenté de corriger en octobre sans succès. Un nouvel identifiant, CVE-2024-55956, a depuis été attribué, et des mises à jour (versions 5.8.0.24) pour Harmony, VLTrader et LexiCom ont été publiées la semaine dernière pour corriger cette faille. Cleo exhorte vivement ses clients à mettre à jour leurs logiciels immédiatement.
Cependant, Stephen Fewer, chercheur principal en sécurité chez Rapid7, a analysé les vulnérabilités CVE-2024-50623 et CVE-2024-55956 et a déterminé que cette dernière n’est pas une simple évolution de la première. La faille CVE-2024-55956 correspond à une vulnérabilité d’écriture de fichiers non authentifiée ayant une cause différente de celle de CVE-2024-50623, qui concernait des lectures/écritures non authentifiées.
« CVE-2024-55956 se produit dans une partie similaire du code produit que CVE-2024-50623 et est accessible via le même point d’entrée dans la cible. Cependant, la stratégie d’exploitation diffère considérablement entre ces deux vulnérabilités », a expliqué Fewer.
Les deux failles de sécurité semblent avoir été exploitées activement, ce qui suggère que les attaques impliquaient effectivement une vulnérabilité zero-day.
Sur son site basé sur Tor, le groupe notoire de rançongiciels Cl0p a laissé entendre qu’il était responsable de la campagne contre Cleo et qu’il se concentrerait sur les organisations ciblées dans ces attaques. Cl0p a confirmé à Bleeping Computer qu’il revendique ces attaques.
Un nouveau groupe de rançongiciels nommé Termite était initialement soupçonné d’être à l’origine des attaques contre Cleo, certains experts en cybersécurité ayant évoqué un lien possible entre Termite et Cl0p, suggérant que Termite pourrait être le successeur de Cl0p.
Cependant, Christiaan Beek, directeur principal de l’analyse des menaces chez Rapid7, a noté qu’il est toujours possible que plusieurs groupes soient impliqués.
« Bien que Cl0p ait publié un message sur son site, cela ne constitue pas une preuve formelle de l’implication d’un groupe unique. Toute discussion sur l’identité exacte des attaquants reste spéculative tant que d’autres indicateurs ou preuves ne sont pas établis », a-t-il déclaré par e-mail.
Il a ajouté :
« Il est possible de confirmer l’implication d’un groupe en corrélant les indicateurs techniques de l’attaque, les outils et techniques utilisés, ainsi que les observations et analyses techniques antérieures, comme les similarités de code. Pris individuellement, ces éléments ne sont pas des indicateurs solides, mais ensemble, ils offrent une vue vérifiable. »
Pour le moment, Cl0p n’a pas ajouté de nouvelles victimes à son site de fuites, mais les entreprises touchées lors de cette campagne devraient être nommées prochainement.
Le nombre exact de clients de Cleo ciblés reste incertain. Depuis la révélation des attaques, environ 1 300 instances exposées sur Internet des produits Harmony, VLTrader et LexiCom ont été identifiées, selon Censys.
Il n’est pas surprenant que Cl0p revendique ces attaques, car ce groupe était également responsable de la campagne contre MOVEit, où il avait exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit de Progress Software, volant d’importantes quantités de données auprès de milliers d’organisations.
Vendredi, l’agence américaine de cybersécurité CISA a ajouté les failles des produits Cleo à son catalogue de vulnérabilités exploitées connues (KEV), exigeant que les agences fédérales corrigent ces failles avant début janvier 2025. L’agence a confirmé que ces vulnérabilités ont été exploitées par des groupes de rançongiciels, mais n’a pas fourni de détails.
Plusieurs sociétés de cybersécurité ont publié des analyses du logiciel malveillant utilisé dans les attaques contre Cleo. Ce logiciel, décrit comme un cadre d’exploitation post-infection et un RAT (outil d’administration à distance) basé sur Java, permet aux attaquants de réaliser des reconnaissances, d’exécuter des commandes et d’exfiltrer des fichiers. Le malware est suivi sous les noms Malichus (par Huntress) et Cleopatra (par Arctic Wolf).
Sources :
https://www.securityweek.com/cve-assigned-to-cleo-vulnerability-as-cl0p-ransomware-group-takes-credit-for-exploitation/
https://therecord.media/cleo-urges-customers-to-immediately-patch-systems-after-exploitation
RE: Le groupe C10p prend crédit pour la vulnérabilité Cleo - EnZ0 - 18-12-2024
Ton article aborde un sujet hyper pertinent pour les étudiants en BTS SIO, vu les enjeux de cybersécurité croissants autour des logiciels d’entreprise. La description des vulnérabilités et du contexte des attaques est complète et utile pour comprendre les dangers liés aux zero-days.
Cela dit, ton texte gagnerait vraiment en lisibilité avec une meilleure aération. Par exemple, utilise des sous-titres ou des paragraphes plus courts pour chaque grande idée. Les lecteurs arriveront ainsi plus facilement à retenir les informations essentielles sans se sentir noyés dans un bloc dense de texte. Un format bien structuré a un impact direct : on comprend plus vite et on est plus tenté de lire jusqu’au bout.
Concernant le contenu, l’implication possible de Termite en tant que successeur de Cl0p (la Cl0p c'est mauvais, on le savait déjà
) est intéressante. On peut imaginer que ce genre de mutation chez les groupes de rançongiciels va devenir plus fréquent, ce qui complique la réponse des entreprises et des agences. Cela me fait me demander si des solutions plus proactives, comme l’analyse en temps réel des comportements réseau, pourraient limiter les dégâts face à ce type d’attaque.Tu as une idée d'autres cas récents où un groupe a changé d'identité pour échapper à la traque ? Ça pourrait enrichir encore plus ton analyse.
C’est du bon boulot Omnous_Luminae !