Vulnerabilidad critica en transferencia de archivos Cleo

Se ha descubierto una vulnerabilidad critica, identificada como CVE-2024-50623, en el paquete de software de transferencia de archivos de Cleo. Esta vulnerabilidad permite a los atacantes explotar una falla de carga y descarga de archivos sin restricciones, lo que podría provocar una ejecución remota de código (RCE) en sistemas vulnerables.

¿Cuál es la amenaza?

La vulnerabilidad surge de la falta de validación y desinfección de entradas adecuadas en el software. Los atacantes pueden crear archivos maliciosos que contienen código malicioso, como JavaScript. Una vez cargados, estos archivos se pueden ejecutar en el servidor, lo que otorga a los atacantes acceso no autorizado al sistema.

¿Por qué es de relevancia?

Los atacantes pueden usar esta vulnerabilidad para instalar una puerta trasera en las instancias de Cleo Harmony, VLTrader y LexiCom. La explotación no requiere autenticación previa, pero puede requerir algun tipo de interacción del usuario para ejecutar comandos en el host utilizando la configuración predetermianda del directorio Autorun. Estos comandos se utilizan para establecer conexión de Shell remota desde direcciones IP sospechosas al servidor de Harmony VLTrader o LexiCom. Entre las organizaciones de productos de consumo, logísticas y envió, y proveedores de alimentos.

Se ha publicado un parche en las versiones 5.8.0.21 deCleo Harmony, VLTrader y LexiCom. Sin embargo, los investigadores han descubierto que el parche no mitiga la falla de seguridad. Las organizaciones que utilizan estas herramientas siguen siendo susceptibles de ser explotadas.

¿Cuál es el riesgo?

Las organizaciones que utilizan Cleo Harmony, VLTrader y LexiCom son vulnerables a varios riesgos, incluidas violaciones de datos, compromisos del sistema, interrupciones de la red y daño a la reputación.

Recomendaciones

Se recomienda que las organizaciones tomen medidas para reducir el riesgo de explotación y proteger su infraestructura critica:

• Coloque todos los sistemas Cleo expuesto a Internet detrás de un cortafuegos hasta que se publique un parche actualizado.
• Desactive la función de ejecución automática. Los proveedores de servicio pueden proporcionar scripts para que los clientes deshabiliten la ejecución automática
• Actualice el software a la última versión para minimizar el riesgo de exposición a vulnerabilidades presentes en versiones anteriores.
• Aplique el nuevo parque una vez que esté disponible.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR