Kritische Schwachstelle in Cleo-Software
Die Cybersecurity-Firma Huntress hat eine kritische Sicherheitslücke in den Dateitransfer-Softwarelösungen von Cleo aufgedeckt, die weitreichende Sicherheitsrisiken für Unternehmen birgt. Die Schwachstelle betrifft die Produkte Cleo Harmony, Cleo VLTrader und Cleo LexiCom in allen Versionen bis einschließlich 5.8.0.21 und ermöglicht Angreifern einen unautorisierten Fernzugriff mit Remote-Code-Ausführung. Huntress hat bereits eine aktive Ausnutzung dieser Sicherheitslücke in der Praxis beobachtet.
Die Untersuchungen zeigten, dass Angreifer die Schwachstelle nutzen, um über Autorun-Verzeichnisse der Software schädliche Dateien einzuschleusen und weitere Systeme zu kompromittieren. Betroffen sind vor allem Unternehmen aus den Branchen Konsumgüter, Lebensmittelindustrie, Logistik und Transport. Huntress identifizierte bereits Angriffe auf mindestens zehn Unternehmen, wobei die Attacken am 8. Dezember ihren Höhepunkt erreichten.
Bei den Angriffen wurden mehrere internationale IP-Adressen aus Ländern wie Moldawien, Niederlande, Kanada, Litauen und den USA identifiziert. Die Angreifer nutzten eine komplexe Methode, um PowerShell-Befehle auszuführen und weitere Schadsoftware herunterzuladen. Die Cybersecurity-Experten konnten den Angriffsmechanismus vollständig rekonstruieren und einen Proof-of-Concept entwickeln, der die Sicherheitslücke demonstriert.
Cleo wurde von Huntress über die Schwachstelle informiert und arbeitet derzeit an einem Patch. Bis zur Veröffentlichung empfehlen die Sicherheitsexperten Unternehmen, ihre Cleo-Systeme hinter eine Firewall zu setzen und bestimmte Konfigurationseinstellungen zu deaktivieren. Konkret sollten Nutzer im Konfigurationsmenü das Autorun-Verzeichnis leeren, um das Risiko einer Kompromittierung zu minimieren.
Das Huntress-Sicherheitsteam hat nach eigenen Angaben bereits Maßnahmen ergriffen, um betroffene Systeme zu schützen. Dazu gehören spezifische Erkennungsmechanismen, interne Untersuchungsleitfäden und die Blockierung der identifizierten Angriffs-IP-Adressen. Die Firma arbeitet eng mit potenziell betroffenen Kunden zusammen, um mögliche Sicherheitsverletzungen zu identifizieren und zu neutralisieren. Cleo selbst bereitet eine neue CVE-Kennzeichnung vor und erwartet noch in dieser Woche die Veröffentlichung eines umfassenden Sicherheitspatches.