検索
特集

ファイル転送ソフト「Cleo」にゼロデイ脆弱性 大規模に悪用を観測済みCybersecurity Dive

ファイル転送ソフトウェア「Cleo」に重大なゼロデイ脆弱性が見つかった。既に大規模な悪用がされており、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社での被害が報告されている。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 2024年12月9日(現地時間、以下同)に研究者が明らかにしたところによると、ファイル転送ソフトウェア「Cleo」における重大なゼロデイ脆弱(ぜいじゃく)性が現在積極的に悪用されているという。Cleoが脆弱性に関する勧告を発表してから6週間が経過している。

Cleoのゼロデイ脆弱性の大規模な悪用が進行中 研究者たちの調査結果

 この脆弱性は、リモートコード実行につながる恐れがあり、制限なしにファイルのアップロードおよびダウンロードが可能になる。Cleoは2024年10月下旬に警告を発した。

 同脆弱性は「CVE-2024-50623」という識別番号でリストに記載されている(注1)。サイバーセキュリティ事業を営むHuntressの研究者たちは、2024年12月9日に「Cleo製品の大規模な悪用を確認しており、企業が発行したパッチがこの欠陥に対して十分な保護を提供していない」と述べた。

 研究者との協議の結果、Cleoは「Cleo Harmony」および「Cleo VLTrader」「LexiCom」製品に存在する重大な脆弱性について、新たな識別番号の指定を公表する予定だと発表した。

 Huntressの研究者によると、Cleo HarmonyおよびVLTrader、Lexicomの脆弱性に関連した大規模な悪用と悪用後の活動を2024年12月3日から観測しているという(注2)。Cleoは、同年10月にHarmonyおよびVLTrader、Lexicomのバージョン5.8.0.21より前のバージョンに脆弱性があることを警告し、パッチを発行した。

 2024年12月9日にHuntressの研究者たちは「ソフトウェアの以前のバージョンだけでなく、完全にパッチが適用されたインスタンスでもCVE-2024-50623の悪用を観測した」と述べた。

 Huntressのジョン・ハモンド氏(主任セキュリティ研究者)は、2024年12月10日に電子メールで次のように述べている。

 「Huntressは現場で使われているこの技術を観察し、その後、攻撃者が同脆弱性の悪用に使用していると思われるPoC(概念実証)を再現した。しかし、CVE-2024-50623の完全な技術的詳細が明らかになっていないため。攻撃者が特定の脆弱性を悪用していたのか、それとも新しい攻撃方法を使っていたかどうかは定かではない。現に、パッチを適用したバージョンも侵害されている」

 ハモンド氏によると、Huntressの研究者たちはCleoと話し合い、Cleoが2024年12月9日の週のうちに新しい識別番号と新しいパッチをリリースすることを確認したという。Cleoの広報担当者は、具体的な協議についてはコメントしなかったが、新しいパッチが開発中であり、新しい識別番号が保留中であることを確認した(注3)。

 Huntressによると、当初は、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社に対する侵害が判明していたという。Huntressが把握していない企業も潜在的な危険にさらされている可能性がある。

 サイバーセキュリティ事業を営むRapid7の研究者たちは、大規模な悪用が進行中であることを確認した(注4)。これは、セキュリティ研究者のケビン・ビューモント氏がソーシャルメディアに投稿した内容を参考にしたものだ(注5)。

 その投稿には、Cleoが顧客に夜間に連絡し、認証されていないユーザーがbashまたはPowerShellの任意のコマンドをインポートして実行できる重大な脆弱性について警告したことが示されている。

 2024年12月10日のブログ投稿によると(注6)、セキュリティリスク管理サービスを提供するCensysの研究者は、HarmonyおよびVLTrader、LexiComに関連する露出済みのインスタンスが1342件あることを発見したという。露出しているインスタンスのうち、約8割が米国内に存在する。

© Industry Dive. All rights reserved.

ページトップに戻る