CVE-2024-55956 è attivamente sfruttata in ambienti reali, prendendo di mira gli strumenti di trasferimento file di Cleo: Harmony, VLTrader e LexiCom. Un noto gruppo ransomware, Cl0p, ha rivendicato la responsabilità di questi attacchi, che sfruttano una vulnerabilità che consente l’esecuzione di codice da remoto. La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto questa vulnerabilità al proprio catalogo KEV (Known Exploited Vulnerabilities) e ha ordinato alle agenzie federali di applicare la patch entro gennaio 2025.
| Prodotto | Cleo Products |
| Data | 2024-12-18 09:25:52 |
| Informazioni | Trending, Fix Available, Active Exploitation |
Riassunto tecnico
La vulnerabilità, identificata come CVE-2024-55956, interessa le versioni di Cleo Harmony, VLTrader e LexiCom precedenti alla 5.8.0.24. Lo sfruttamento avviene a causa di una gestione impropria delle impostazioni predefinite nella directory Autorun, consentendo ad attaccanti non autenticati di importare ed eseguire comandi arbitrari Bash o PowerShell. Questa falla ha una causa principale diversa da CVE-2024-50623, sebbene entrambe le vulnerabilità prendano di mira una base di codice ed endpoint simili. Gli attaccanti hanno sfruttato questa debolezza per condurre attività di ricognizione, eseguire comandi, esfiltrare file sensibili e distribuire ransomware, con un impatto significativo sulle organizzazioni colpite.
Raccomandazioni
Aggiornare all’ultima versione sicura: Per Harmony, VLTrader e LexiCom, aggiornare immediatamente alla versione 5.8.0.24 o successiva.