网易首页 > 网易号 > 正文 申请入驻

【安全圈】新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用

0
分享至

关键词

安全漏洞

黑客正在积极利用 Cleo 托管文件传输软件中的零日漏洞来破坏企业网络并进行数据盗窃攻击。该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,允许不受限制的文件上传和下载,从而导致远程代码执行。

Cleo MFT 漏洞影响版本 5.8.0.21 及更早版本,是对先前修复的漏洞 CVE-2024-50623 的绕过,Cleo 于 2024 年 10 月解决了该漏洞。但是,该修复并不无懈可击,它还允许威胁者绕过它并继续攻击在攻击中利用。

Cleo 表示,其软件被全球 4000 家公司使用,包括 Target、沃尔玛、Lowes、CVS、Home Depot、FedEx、Kroger、Wayfair、Dollar General、Victrola 和 Duraflame。

这些攻击让人想起之前利用托管文件传输产品中的零日漏洞进行的 Clop 数据盗窃攻击,包括 2023 年大规模利用 MOVEit Transfer、使用 GoAnywhere MFT 零日漏洞的攻击以及 2020 年 12 月针对 MOVEit Transfer 的零日漏洞攻击。

然而,网络安全专家认为,这些 Cleo 数据盗窃攻击与新的 Termite 勒索软件团伙有关,该团伙最近入侵了全球许多公司使用的供应链软件提供商 Blue Yonder。

野外攻击

Huntress 安全研究人员首先发现了对 Cleo MFT 软件的主动利用,他们还在一篇新文章中发布了概念验证 ( PoC ) 漏洞,提醒用户应采取紧急行动。

Huntress 解释说:" 这个漏洞正在被广泛利用,运行 5.8.0.21 的完全修补的系统仍然可以被利用。我们强烈建议您将任何暴露于互联网的 Cleo 系统移至防火墙后面,直到发布新补丁为止。"

CVE-2024-50623 的活跃利用证据始于 2024 年 12 月 3 日,12 月 8 日观察到的攻击量显著上升。尽管归属尚不清楚,但这些攻击与以下 IP 地址相关:加拿大、荷兰、立陶宛和摩尔多瓦。

·176.123.5.126 - AS 200019 ( AlexHost SRL ) - 摩尔多瓦

·5.149.249.226 - AS 59711 ( HZ Hosting Ltd ) - 荷兰

·185.181.230.103 - AS 60602 ( Inovare-Prim SRL ) - 摩尔多瓦

·209.127.12.38 - AS 55286 ( SERVER-MANIA / B2 Net Solutions Inc ) - 加拿大

·181.214.147.164 - AS 15440 ( UAB Baltnetos komunikacijos ) - 立陶宛

·192.119.99.42 - AS 54290 ( HOSTWINDS LLC ) - 美国

这些攻击利用 Cleo 漏洞将名为 "healthchecktemplate.txt" 或 "healthcheck.txt" 的文件写入目标端点的 "autorun" 目录,这些文件由 Cleo 软件自动处理。

发生这种情况时,这些文件会调用内置导入功能来加载其他有效负载,例如包含 XML 配置("main.xml")的 ZIP 文件,其中包含将执行的 PowerShell 命令。

利用在易受攻击的设备上执行 PowerShell 命令

PowerShell 命令与远程 IP 地址建立回调连接、下载额外的 JAR 有效负载并擦除恶意文件以阻碍取证调查。Huntress 表示,在后利用阶段,攻击者使用 "nltest.exe" 枚举 Active Directory 域,部署 Webshell 以在受感染的系统上进行持久远程访问,并使用 TCP 通道最终窃取数据。

完成对系统的攻击后,威胁者会执行 PowerShell 命令来删除攻击中的文件,例如 "C:LexiComcleo.1142"。Huntress 的遥测数据表明,这些攻击已经影响了至少 10 个使用 Cleo 软件产品的企业,其中一些企业从事消费品、食品行业、卡车运输和航运业务。

Huntress 指出,还有更多潜在受害者超出了其可见范围,Shodan 互联网扫描返回了 390 个 Cleo 软件产品结果,绝大多数(298 个)易受攻击的服务器位于美国。

Macnica 的威胁研究员表示,他的扫描结果为 Harmony 返回 379 个结果,为 VLTrader 返回 124 个结果,为 LexiCom 返回 240 个结果。

需要采取行动

鉴于 CVE-2024-50623 的活跃利用以及当前补丁(版本 5.8.0.21)的无效性,用户必须立即采取措施来降低妥协风险。Huntress 建议将暴露于互联网的系统移至防火墙后面并限制对 Cleo 系统的外部访问。

公司可以通过在目录 "C:LexiCom"、"C:VLTrader" 和 "C:Harmony" 中查找可疑的 TXT 和 XML 文件来检查其 Cleo 服务器是否受到损害,并检查 PowerShell 命令执行的日志。

恶意 XML 文件将在 "hosts" 文件夹中找到,并包含 bash(在 Linux 上)或 PowerShell(在 Windows 上)命令。Cleo 发布了适用于 Linux 和 Windows 的脚本,可以帮助查找这些恶意 XML 文件。

最后,Huntress 建议删除 Harmony/VLTrader/Lexicom 下的所有 "Cleo####.jar" 文件(例如 cleo.5264.jar 或 cleo.6597.jar),因为它们可能是在利用漏洞期间上传的。另外,建议按照以下步骤关闭自动运行功能:

1. 打开 Cleo 应用程序(LexiCom、VLTrader 或 Harmony)

2. 导航至:配置>选项>其他窗格

3. 清除标记为 " 自动运行目录 " 的字段

4. 保存更改

Huntress 表示,Cleo 预计针对此漏洞的新安全更新将晚些时候发布。此外,有媒体向 Cleo 询问了有关该漏洞的其他问题,并被告知安全更新 " 正在开发中 "。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
萧旭岑:只要民众党主席还是黄国昌,2028年一定“蓝白合”

萧旭岑:只要民众党主席还是黄国昌,2028年一定“蓝白合”

海峡导报社
2026-07-03 20:03:12
随着中国台北逆转韩国 中国男篮惨败 世预赛最新积分榜:日本出线

随着中国台北逆转韩国 中国男篮惨败 世预赛最新积分榜:日本出线

侃球熊弟
2026-07-03 21:25:33
后悔也晚了?日本拉黑110家中企、停供芯片原料,中方反制却更快

后悔也晚了?日本拉黑110家中企、停供芯片原料,中方反制却更快

数字财经智库
2026-07-02 15:55:40
克罗地亚名哨:仅凭足球芯片信号取消进球,缺证据难服众

克罗地亚名哨:仅凭足球芯片信号取消进球,缺证据难服众

懂球帝
2026-07-03 20:25:08
博主曝上海400元自助,海胆畅吃变限量,店长多次冷笑,网友炸锅

博主曝上海400元自助,海胆畅吃变限量,店长多次冷笑,网友炸锅

哄动一时啊
2026-07-03 14:36:06
终于有经济学家批评体制内退休金太高、加剧代际矛盾,评论区炸锅

终于有经济学家批评体制内退休金太高、加剧代际矛盾,评论区炸锅

慧翔百科
2026-06-23 08:47:02
李刚任新疆维吾尔自治区党委常委

李刚任新疆维吾尔自治区党委常委

澎湃新闻
2026-07-03 21:41:05
水泥封杀丈夫,强酸融情夫命根,勾魂夺命“黑寡妇”有何致命魅力

水泥封杀丈夫,强酸融情夫命根,勾魂夺命“黑寡妇”有何致命魅力

易玄
2026-07-03 02:07:16
A股交易规则下周将迎重大变化,券商:投资者需要主动排查这几件事

A股交易规则下周将迎重大变化,券商:投资者需要主动排查这几件事

每日经济新闻
2026-07-03 19:43:06
北京七胞胎相关争议从未停歇,众人最关心孩子是否为同一母亲所生

北京七胞胎相关争议从未停歇,众人最关心孩子是否为同一母亲所生

西楼知趣杂谈
2026-07-03 21:24:45
央行:将开展10000亿元买断式逆回购操作

央行:将开展10000亿元买断式逆回购操作

21世纪经济报道
2026-07-03 18:01:45
胆子不小!小国世界杯晋级后,马上喊话大陆:不跟台湾“断交”

胆子不小!小国世界杯晋级后,马上喊话大陆:不跟台湾“断交”

春之寞陌
2026-07-03 09:12:35
暴涨20倍!被PCB掩盖的AI真龙头,高端封装材料才是赛道终极王炸

暴涨20倍!被PCB掩盖的AI真龙头,高端封装材料才是赛道终极王炸

呼呼历史论
2026-07-03 11:15:41
33万捐赠350套路灯被指“三无”?佛山经销方喊冤,中山厂家首度发声,两地市场监管部门介入!

33万捐赠350套路灯被指“三无”?佛山经销方喊冤,中山厂家首度发声,两地市场监管部门介入!

佛山电视台小强热线
2026-07-03 23:36:10
吹捧印度抹黑中国,卖国求荣的郑墨沫,如今想回国被拒,报应来了

吹捧印度抹黑中国,卖国求荣的郑墨沫,如今想回国被拒,报应来了

笑饮孤鸿非
2026-06-27 14:50:16
CCTV直播!蒯曼战王曼昱克星!张本美和VS早田 奥运冠军出局 大满贯女单8强出4

CCTV直播!蒯曼战王曼昱克星!张本美和VS早田 奥运冠军出局 大满贯女单8强出4

好乒乓
2026-07-03 16:18:42
如何判断一个人是不是性工作者?网友说看倒精方法是否老练!

如何判断一个人是不是性工作者?网友说看倒精方法是否老练!

灯锦年
2026-07-01 17:38:16
院士候选人张灼华落马,执掌南华大学9年多,最难受的是中南大学

院士候选人张灼华落马,执掌南华大学9年多,最难受的是中南大学

百家论大学
2026-07-03 21:01:09
高铁“变味”了?如今的高铁,为什么越来越多的人不想坐了呢?

高铁“变味”了?如今的高铁,为什么越来越多的人不想坐了呢?

独坐山巅前
2026-07-02 21:00:50
延续精准手感!今夜三场世界杯比分:2-0,1-1,2-1,照搬!

延续精准手感!今夜三场世界杯比分:2-0,1-1,2-1,照搬!

刘哥谈体育
2026-07-03 12:10:50
2026-07-04 00:11:00
安全圈
安全圈
国内首家大安全概念新媒体
6708文章数 4688关注度
往期回顾 全部

科技要闻

万亿富豪马斯克 舍不得特斯拉员工敞开用AI

头条要闻

美媒询问中方是否接受霍尔木兹海峡收费 外交部回应

头条要闻

美媒询问中方是否接受霍尔木兹海峡收费 外交部回应

体育要闻

C罗穿已故队友若塔球衣谢场 眼中含泪

娱乐要闻

海来阿木孕期出轨指控掀起全网热议

财经要闻

千亿茶市场无赢家:澜沧巨亏 八马停"蹄"

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

艺术
亲子
本地
手机
公开课

艺术要闻

OPPO研发总部地块易主,山子高科“双O”新方案曝光!

亲子要闻

总觉得哪里有点不对~

本地新闻

国内足球之旅?这座小城给你高分答案

手机要闻

屏幕亮度降档:消息称三星Galaxy A38手机将复用A27显示面板

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版