Un groupe de rançongiciels notoire revendique les récentes attaques exploitant des vulnérabilités dans les produits de transfert de fichiers du développeur de logiciels d’entreprise Cleo.
Les attaques ciblent des vulnérabilités affectant les outils de transfert de fichiers Harmony, VLTrader et LexiCom de Cleo. Ces exploitations ont été observées depuis le 3 décembre. Les vulnérabilités permettent à des attaquants non authentifiés d’exécuter du code à distance. Lors des attaques récentes, les attaquants ont probablement cherché à obtenir des fichiers d’organisations utilisant ces logiciels vulnérables.
Lorsque l’exploitation des failles a été révélée, la société de cybersécurité Huntress a rapporté que les attaques impliquaient la vulnérabilité CVE-2024-50623, que Cleo avait tenté de corriger en octobre sans succès. Un nouvel identifiant, CVE-2024-55956, a depuis été attribué, et des mises à jour (versions 5.8.0.24) pour Harmony, VLTrader et LexiCom ont été publiées la semaine dernière pour corriger cette faille. Cleo exhorte vivement ses clients à mettre à jour leurs logiciels immédiatement.
Cependant, Stephen Fewer, chercheur principal en sécurité chez Rapid7, a analysé les vulnérabilités CVE-2024-50623 et CVE-2024-55956 et a déterminé que cette dernière n’est pas une simple évolution de la première. La faille CVE-2024-55956 correspond à une vulnérabilité d’écriture de fichiers non authentifiée ayant une cause différente de celle de CVE-2024-50623, qui concernait des lectures/écritures non authentifiées.
« CVE-2024-55956 se produit dans une partie similaire du code produit que CVE-2024-50623 et est accessible via le même point d’entrée dans la cible. Cependant, la stratégie d’exploitation diffère considérablement entre ces deux vulnérabilités », a expliqué Fewer.
Les deux failles de sécurité semblent avoir été exploitées activement, ce qui suggère que les attaques impliquaient effectivement une vulnérabilité zero-day.
Sur son site basé sur Tor, le groupe notoire de rançongiciels Cl0p a laissé entendre qu’il était responsable de la campagne contre Cleo et qu’il se concentrerait sur les organisations ciblées dans ces attaques. Cl0p a confirmé à Bleeping Computer qu’il revendique ces attaques.
Un nouveau groupe de rançongiciels nommé Termite était initialement soupçonné d’être à l’origine des attaques contre Cleo, certains experts en cybersécurité ayant évoqué un lien possible entre Termite et Cl0p, suggérant que Termite pourrait être le successeur de Cl0p.
Cependant, Christiaan Beek, directeur principal de l’analyse des menaces chez Rapid7, a noté qu’il est toujours possible que plusieurs groupes soient impliqués.
« Bien que Cl0p ait publié un message sur son site, cela ne constitue pas une preuve formelle de l’implication d’un groupe unique. Toute discussion sur l’identité exacte des attaquants reste spéculative tant que d’autres indicateurs ou preuves ne sont pas établis », a-t-il déclaré par e-mail.
Il a ajouté :
« Il est possible de confirmer l’implication d’un groupe en corrélant les indicateurs techniques de l’attaque, les outils et techniques utilisés, ainsi que les observations et analyses techniques antérieures, comme les similarités de code. Pris individuellement, ces éléments ne sont pas des indicateurs solides, mais ensemble, ils offrent une vue vérifiable. »
Pour le moment, Cl0p n’a pas ajouté de nouvelles victimes à son site de fuites, mais les entreprises touchées lors de cette campagne devraient être nommées prochainement.
Le nombre exact de clients de Cleo ciblés reste incertain. Depuis la révélation des attaques, environ 1 300 instances exposées sur Internet des produits Harmony, VLTrader et LexiCom ont été identifiées, selon Censys.
Il n’est pas surprenant que Cl0p revendique ces attaques, car ce groupe était également responsable de la campagne contre MOVEit, où il avait exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit de Progress Software, volant d’importantes quantités de données auprès de milliers d’organisations.
Vendredi, l’agence américaine de cybersécurité CISA a ajouté les failles des produits Cleo à son catalogue de vulnérabilités exploitées connues (KEV), exigeant que les agences fédérales corrigent ces failles avant début janvier 2025. L’agence a confirmé que ces vulnérabilités ont été exploitées par des groupes de rançongiciels, mais n’a pas fourni de détails.
Plusieurs sociétés de cybersécurité ont publié des analyses du logiciel malveillant utilisé dans les attaques contre Cleo. Ce logiciel, décrit comme un cadre d’exploitation post-infection et un RAT (outil d’administration à distance) basé sur Java, permet aux attaquants de réaliser des reconnaissances, d’exécuter des commandes et d’exfiltrer des fichiers. Le malware est suivi sous les noms Malichus (par Huntress) et Cleopatra (par Arctic Wolf).
Sources :
https://www.securityweek.com/cve-assigne...loitation/
https://therecord.media/cleo-urges-custo...ploitation
Les attaques ciblent des vulnérabilités affectant les outils de transfert de fichiers Harmony, VLTrader et LexiCom de Cleo. Ces exploitations ont été observées depuis le 3 décembre. Les vulnérabilités permettent à des attaquants non authentifiés d’exécuter du code à distance. Lors des attaques récentes, les attaquants ont probablement cherché à obtenir des fichiers d’organisations utilisant ces logiciels vulnérables.
Lorsque l’exploitation des failles a été révélée, la société de cybersécurité Huntress a rapporté que les attaques impliquaient la vulnérabilité CVE-2024-50623, que Cleo avait tenté de corriger en octobre sans succès. Un nouvel identifiant, CVE-2024-55956, a depuis été attribué, et des mises à jour (versions 5.8.0.24) pour Harmony, VLTrader et LexiCom ont été publiées la semaine dernière pour corriger cette faille. Cleo exhorte vivement ses clients à mettre à jour leurs logiciels immédiatement.
Cependant, Stephen Fewer, chercheur principal en sécurité chez Rapid7, a analysé les vulnérabilités CVE-2024-50623 et CVE-2024-55956 et a déterminé que cette dernière n’est pas une simple évolution de la première. La faille CVE-2024-55956 correspond à une vulnérabilité d’écriture de fichiers non authentifiée ayant une cause différente de celle de CVE-2024-50623, qui concernait des lectures/écritures non authentifiées.
« CVE-2024-55956 se produit dans une partie similaire du code produit que CVE-2024-50623 et est accessible via le même point d’entrée dans la cible. Cependant, la stratégie d’exploitation diffère considérablement entre ces deux vulnérabilités », a expliqué Fewer.
Les deux failles de sécurité semblent avoir été exploitées activement, ce qui suggère que les attaques impliquaient effectivement une vulnérabilité zero-day.
Sur son site basé sur Tor, le groupe notoire de rançongiciels Cl0p a laissé entendre qu’il était responsable de la campagne contre Cleo et qu’il se concentrerait sur les organisations ciblées dans ces attaques. Cl0p a confirmé à Bleeping Computer qu’il revendique ces attaques.
Un nouveau groupe de rançongiciels nommé Termite était initialement soupçonné d’être à l’origine des attaques contre Cleo, certains experts en cybersécurité ayant évoqué un lien possible entre Termite et Cl0p, suggérant que Termite pourrait être le successeur de Cl0p.
Cependant, Christiaan Beek, directeur principal de l’analyse des menaces chez Rapid7, a noté qu’il est toujours possible que plusieurs groupes soient impliqués.
« Bien que Cl0p ait publié un message sur son site, cela ne constitue pas une preuve formelle de l’implication d’un groupe unique. Toute discussion sur l’identité exacte des attaquants reste spéculative tant que d’autres indicateurs ou preuves ne sont pas établis », a-t-il déclaré par e-mail.
Il a ajouté :
« Il est possible de confirmer l’implication d’un groupe en corrélant les indicateurs techniques de l’attaque, les outils et techniques utilisés, ainsi que les observations et analyses techniques antérieures, comme les similarités de code. Pris individuellement, ces éléments ne sont pas des indicateurs solides, mais ensemble, ils offrent une vue vérifiable. »
Pour le moment, Cl0p n’a pas ajouté de nouvelles victimes à son site de fuites, mais les entreprises touchées lors de cette campagne devraient être nommées prochainement.
Le nombre exact de clients de Cleo ciblés reste incertain. Depuis la révélation des attaques, environ 1 300 instances exposées sur Internet des produits Harmony, VLTrader et LexiCom ont été identifiées, selon Censys.
Il n’est pas surprenant que Cl0p revendique ces attaques, car ce groupe était également responsable de la campagne contre MOVEit, où il avait exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit de Progress Software, volant d’importantes quantités de données auprès de milliers d’organisations.
Vendredi, l’agence américaine de cybersécurité CISA a ajouté les failles des produits Cleo à son catalogue de vulnérabilités exploitées connues (KEV), exigeant que les agences fédérales corrigent ces failles avant début janvier 2025. L’agence a confirmé que ces vulnérabilités ont été exploitées par des groupes de rançongiciels, mais n’a pas fourni de détails.
Plusieurs sociétés de cybersécurité ont publié des analyses du logiciel malveillant utilisé dans les attaques contre Cleo. Ce logiciel, décrit comme un cadre d’exploitation post-infection et un RAT (outil d’administration à distance) basé sur Java, permet aux attaquants de réaliser des reconnaissances, d’exécuter des commandes et d’exfiltrer des fichiers. Le malware est suivi sous les noms Malichus (par Huntress) et Cleopatra (par Arctic Wolf).
Sources :
https://www.securityweek.com/cve-assigne...loitation/
https://therecord.media/cleo-urges-custo...ploitation
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
) est intéressante. On peut imaginer que ce genre de mutation chez les groupes de rançongiciels va devenir plus fréquent, ce qui complique la réponse des entreprises et des agences. Cela me fait me demander si des solutions plus proactives, comme l’analyse en temps réel des comportements réseau, pourraient limiter les dégâts face à ce type d’attaque.