บริษัทอาหารยักษ์ใหญ่ของสหรัฐฯ WK Kellogg Co กำลังแจ้งเตือนพนักงาน และคู่ค้าทางธุรกิจว่า ข้อมูลของบริษัทถูกขโมยไปในระหว่างเหตุการณ์การโจมตีที่เกี่ยวข้องกับซอฟต์แวร์ Cleo ในปี 2024

ซอฟต์แวร์ Cleo เป็นเครื่องมือสำหรับการจัดการการรับส่งไฟล์ (Managed File Transfer) ที่ตกเป็นเป้าหมายของกลุ่มแรนซัมแวร์ Clop เมื่อช่วงปลายปีที่ผ่านมา โดยการโจมตีครั้งนี้ใช้ช่องโหว่ zero-day สองรายการ ได้แก่ CVE-2024-50623 และ CVE-2024-55956 ซึ่งช่วยให้ผู้ไม่หวังดีสามารถเจาะระบบเซิร์ฟเวอร์ และขโมยข้อมูลได้ (more…)

Cleo ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Day ใน LexiCom, VLTransfer และ Harmony software ที่กำลังถูกใช้ในการโจมตีเพื่อขโมยข้อมูลอยู่ในปัจจุบัน

ในเดือนตุลาคม 2024 ทาง Cleo ได้แก้ไขช่องโหว่ CVE-2024-50623 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ High) ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลก่อนการยืนยันตัวตนใน managed file transfer software และแจ้งเตือนให้ผู้ใช้งานอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน

นักวิจัยด้านความปลอดภัยของ Huntress ได้พบหลักฐานการโจมตี Cleo software ที่ติดตั้ง fully patch 5.8.0.21 เป็นครั้งแรกเมื่อวันที่ 3 ธันวาคม 2024 ตามมาด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดของการโจมตีในวันอาทิตย์ที่ 8 ธันวาคม 2024 หลังจากที่ Hacker ค้นพบวิธี Bypass CVE-2024-50623 ได้อย่างรวดเร็ว (โดยยังไม่มี CVE-ID) ทำให้สามารถนำเข้า และดำเนินการคำสั่ง bash หรือ PowerShell ที่ต้องการได้โดยใช้ประโยชน์จากการตั้งค่า default Autorun folder

ทาง Huntress แนะนำให้ทำการย้ายระบบ Cleo ที่เชื่อมอินเทอร์เน็ตทั้งหมดไปไว้หลังไฟร์วอลล์จนกว่าจะมีการอัปเดตแพตช์ใหม่

โดยปัจจุบันช่องโหว่ Zero-Day ดังกล่าว กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Kevin Beaumont เชื่อมโยงการโจมตีเข้ากับกลุ่ม Ransomware ในชื่อ Termite ซึ่งเพิ่งอ้างสิทธิ์ในการโจมตีผู้ให้บริการ software as a service (SaaS) ชื่อ Blue Yonder

รวมถึง Shodan ได้ติดตาม Cleo servers ทั่วโลก 421 แห่ง ซึ่ง 327 แห่งอยู่ในสหรัฐอเมริกา Yutaka Sejiyama นักวิจัยด้านภัยคุกคามของ Macnica ยังพบ Cleo servers 743 แห่งที่สามารถเข้าถึงได้ทางออนไลน์ (379 แห่งใช้ Harmony, 124 แห่งใช้ VLTrader และ 240 แห่งใช้ LexiCom)

การออกอัปเดตสำหรับป้องกันการโจมตีจากมัลแวร์ Malichus

ปัจจุบัน Cleo ได้ออกอัปเดตเพื่อป้องกันการโจมตีที่เกิดขึ้น และแนะนำให้ลูกค้าทำการอัปเดตเป็นเวอร์ชัน 5.8.0.24 โดยเร็วที่สุด เพื่อป้องกัน Cleo servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจากการถูกโจมตี

Cleo แนะนำให้ลูกค้าทุกคนอัปเดต instances ของ Harmony, VLTrader และ LexiCom เป็นเวอร์ชันล่าสุด (เวอร์ชัน 5.8.0.24) ทันทีเพื่อแก้ไขช่องโหว่ หลังจากทำการอัปเดต ระบบจะบันทึกข้อผิดพลาด สำหรับไฟล์ใด ๆ ที่พบเมื่อเริ่มต้นใช้งานที่เกี่ยวข้องกับช่องโหว่ดังกล่าว และลบไฟล์เหล่านั้นออก

ทั้งนี้ Cleo แนะนำให้ผู้ที่ไม่สามารถอัปเดตได้ทันที ให้ทำการปิดการใช้งานคุณสมบัติ Autorun โดยไปที่ Options และเลือก Autorun directory ออก (วิธีนี้จะไม่ป้องกันการโจมตีขาเข้า แต่จะช่วยลด attack surface)

โดยล่าสุดพบว่า Hacker ใช้ประโยชน์จากแพตช์ที่ได้รับการอัปเดต ในการเรียกใช้เพย์โหลด Java Archive (JAR) ที่ถูกเข้ารหัส ซึ่งเป็นส่วนหนึ่งของ Java-based post-exploitation framework โดยที่ Rapid7 เป็นผู้ค้นพบขณะทำการสืบสวนการโจมตี

Huntress ยังได้วิเคราะห์มัลแวร์ในชื่อ Malichus โดยระบุว่ามัลแวร์นี้กำลังถูกนำไปใช้โจมตีเฉพาะบนอุปกรณ์ Windows เท่านั้น แม้ว่าจะรองรับ Linux ก็ตาม ตามรายงานของ Binary Defense ARC Labs ผู้โจมตีสามารถใช้ Malichus สำหรับการถ่ายโอนไฟล์ การเรียกใช้คำสั่ง และการสื่อสารบนเครือข่าย

จนถึงขณะนี้ Huntress ค้นพบบริษัทอย่างน้อย 10 แห่งที่ Cleo servers ถูกควบคุมภายหลังการโจมตีที่กำลังดำเนินอยู่นี้ และระบุว่ายังมีเหยื่อรายอื่น ๆ ที่อาจตกเป็นเหยื่อได้ รวมถึง Sophos ยังพบ IOCs บน Cleo hosts มากกว่า 50 แห่งอีกด้วย โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา ที่เป็นองค์กรค้าปลีก

การโจมตีเหล่านี้คล้ายคลึงกับการโจมตีเพื่อขโมยข้อมูลของ Clop ที่กำหนดเป้าหมายการโจมตีไปยังช่องโหว่ zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA ในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : bleepingcomputer