Sfruttamento delle vulnerabilità in Cleo Harmony, VLTrader e LexiCom

Un attacco attivo sta prendendo di mira i software Cleo Harmony®, VLTrader® e LexiCom®. Queste soluzioni ampiamente utilizzate per la gestione del trasferimento di file risultano vulnerabili alla CVE-2024-50623, una falla che consente l’esecuzione di codice remoto (RCE) senza autenticazione. Nonostante Cleo abbia rilasciato una patch per la versione 5.8.0.21, i ricercatori hanno confermato che questa risulta inefficace, lasciando tuttora i sistemi esposti.

Riassunto tecnico

La vulnerabilità risiede nella gestione impropria dei file nella directory autorun, i quali vengono elaborati ed eseguiti automaticamente. Le tracce rilevate nei file di log mostrano che gli attaccanti sfruttano file appositamente predisposti per avviare importazioni non autorizzate ed eseguire comandi PowerShell. Queste attività portano all’esecuzione arbitraria di codice, consentendo ai cybercriminali di compromettere i sistemi e di espandere la loro portata. Le installazioni interessate si trovano generalmente nel file system root (C:\LexiCom, C:\VLTrader o C:\Harmony) oppure in directory standard come C:\Program Files (x86).

Le seguenti versioni software risultano vulnerabili:

• Cleo Harmony (5.8.0.21 e precedenti)
• Cleo VLTrader (5.8.0.21 e precedenti)
• Cleo LexiCom (5.8.0.21 e precedenti)

Raccomandazioni

• Limitare l’esposizione in rete: collocare immediatamente i sistemi Cleo esposti a Internet dietro un firewall per impedire l’accesso esterno.

• Monitorare Indicatori di Compromissione (IoC): controllare le directory di installazione alla ricerca di file insoliti nella cartella autorun e verificare i log per attività non autorizzate. Prestare particolare attenzione a file come healthchecktemplate.txt o main.xml che potrebbero indicare tentativi di sfruttamento.

• Attendere e applicare patch aggiornate: seguire le comunicazioni ufficiali di Cleo e applicare tempestivamente eventuali aggiornamenti futuri che correggano la causa principale della vulnerabilità.