ファイル転送ソフト「Cleo」にゼロデイ脆弱性 大規模に悪用を観測済み:Cybersecurity Dive
ファイル転送ソフトウェア「Cleo」に重大なゼロデイ脆弱性が見つかった。既に大規模な悪用がされており、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社での被害が報告されている。
2024年12月9日(現地時間、以下同)に研究者が明らかにしたところによると、ファイル転送ソフトウェア「Cleo」における重大なゼロデイ脆弱(ぜいじゃく)性が現在積極的に悪用されているという。Cleoが脆弱性に関する勧告を発表してから6週間が経過している。
Cleoのゼロデイ脆弱性の大規模な悪用が進行中 研究者たちの調査結果
この脆弱性は、リモートコード実行につながる恐れがあり、制限なしにファイルのアップロードおよびダウンロードが可能になる。Cleoは2024年10月下旬に警告を発した。
同脆弱性は「CVE-2024-50623」という識別番号でリストに記載されている(注1)。サイバーセキュリティ事業を営むHuntressの研究者たちは、2024年12月9日に「Cleo製品の大規模な悪用を確認しており、企業が発行したパッチがこの欠陥に対して十分な保護を提供していない」と述べた。
研究者との協議の結果、Cleoは「Cleo Harmony」および「Cleo VLTrader」「LexiCom」製品に存在する重大な脆弱性について、新たな識別番号の指定を公表する予定だと発表した。
Huntressの研究者によると、Cleo HarmonyおよびVLTrader、Lexicomの脆弱性に関連した大規模な悪用と悪用後の活動を2024年12月3日から観測しているという(注2)。Cleoは、同年10月にHarmonyおよびVLTrader、Lexicomのバージョン5.8.0.21より前のバージョンに脆弱性があることを警告し、パッチを発行した。
2024年12月9日にHuntressの研究者たちは「ソフトウェアの以前のバージョンだけでなく、完全にパッチが適用されたインスタンスでもCVE-2024-50623の悪用を観測した」と述べた。
Huntressのジョン・ハモンド氏(主任セキュリティ研究者)は、2024年12月10日に電子メールで次のように述べている。
「Huntressは現場で使われているこの技術を観察し、その後、攻撃者が同脆弱性の悪用に使用していると思われるPoC(概念実証)を再現した。しかし、CVE-2024-50623の完全な技術的詳細が明らかになっていないため。攻撃者が特定の脆弱性を悪用していたのか、それとも新しい攻撃方法を使っていたかどうかは定かではない。現に、パッチを適用したバージョンも侵害されている」
ハモンド氏によると、Huntressの研究者たちはCleoと話し合い、Cleoが2024年12月9日の週のうちに新しい識別番号と新しいパッチをリリースすることを確認したという。Cleoの広報担当者は、具体的な協議についてはコメントしなかったが、新しいパッチが開発中であり、新しい識別番号が保留中であることを確認した(注3)。
Huntressによると、当初は、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社に対する侵害が判明していたという。Huntressが把握していない企業も潜在的な危険にさらされている可能性がある。
サイバーセキュリティ事業を営むRapid7の研究者たちは、大規模な悪用が進行中であることを確認した(注4)。これは、セキュリティ研究者のケビン・ビューモント氏がソーシャルメディアに投稿した内容を参考にしたものだ(注5)。
その投稿には、Cleoが顧客に夜間に連絡し、認証されていないユーザーがbashまたはPowerShellの任意のコマンドをインポートして実行できる重大な脆弱性について警告したことが示されている。
2024年12月10日のブログ投稿によると(注6)、セキュリティリスク管理サービスを提供するCensysの研究者は、HarmonyおよびVLTrader、LexiComに関連する露出済みのインスタンスが1342件あることを発見したという。露出しているインスタンスのうち、約8割が米国内に存在する。
(注1)CVE-2024-50623 Detail(NIST)
(注2)Threat Advisory: Oh No Cleo! Cleo Software Actively Being Exploited in the Wild(HUNTRESS)
(注3)Cleo Product Security Update - CVE-2024-55956(Cleo Solution Center)
(注4)Widespread Exploitation of Cleo File Transfer Software (CVE-2024-55956)(RAPID7)
(注5)@GossiTheDog@cyberplace.social(Mastodon)
(注6)December 10 Advisory: Unrestricted File Upload Vulnerability in Multiple Cleo File Transfer Products [CVE-2024-50623](Censys)
© Industry Dive. All rights reserved.
関連記事
ChatGPTは犯罪者たちの“良き相棒”に ダークWebで観測した生成AIの悪用事例8選
生成AIを悪用したサイバー犯罪は既に現実のものとなっている。では攻撃者はこれをどのように悪用するのか。本稿はダークWebで観測した具体的な8つの悪用事例を解説するとともに、今後起き得る13のAIリスクについても紹介する。大企業にはマネできない 小さい組織ならではの冴えたランサムウェア対策
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。SaaS事業者が“やっていない”セキュリティ対策TOP10は? アシュアード年次調査
アシュアードは2024年のSaaS事業者のセキュリティ未対策項目トップ10を公開した。クラウドセキュリティの必要性が高まる昨今、自社で利用しているSaaSが安全かどうかを図る基準となる。Yahooがセキュリティチームの従業員を大量レイオフ レッドチームも解散へ
Cybersecurity NewsはYahooがサイバーセキュリティチーム「Paranoids」の従業員をレイオフし、レッドチームを廃止する方針であることを明らかにした。一体なぜそのような判断に至ったのか。