[Actualización 12/12/2024] Múltiples vulnerabilidades RCE en productos de Cleo

Fecha de publicación 11/12/2024

Identificador

INCIBE-2024-0605

Importancia

5 - Crítica

Recursos Afectados

La vulnerabilidad CVE-2024-50623 reportada inicialmente por Cleo afecta a las versiones anteriores a 5.8.0.21 para los productos:

Harmony,
VLTrader,
LexiCom.

[Actualización 12/12/2024] Por otro lado, la vulnerabilidad detectada en la investigación de Huntress afecta a las versiones anteriores a 5.8.0.24 de esos mismos productos..

Descripción

Huntress ha publicado una investigación sobre la explotación activa de una vulnerabilidad de ejecución remota de código (RCE) que afecta a varios productos de Cleo empleados para la transferencia de archivos. En dicha investigación, se menciona que la versión 5.8.0.21 publicada para corregir el fallo CVE-2024-50623 seguía siendo vulnerable y aportan pruebas de que actores de amenazas estaban explotando y realizando actividades postexplotación sobre dicha vulnerabilidad, estando pendiente la asignación de un identificador CVE.

Asimismo, Huntress incluye en su investigación indicadores de compromiso (IoC), prueba de concepto (PoC) y objetivos de explotación.

Solución

La vulnerabilidad CVE-2024-50623 se soluciona actualizando a la versión 5.8.0.21 en los productos:

Harmony,
VLTrader,
LexiCom.

[Actualización 12/12/2024] En cuanto a la vulnerabilidad identificada por Huntress, se soluciona actualizando a la versión 5.8.0.24 en estos mismos productos. Asimismo, en dicha investigación se aportan una serie de medidas de mitigación en el apartado How to Stay Protected.

Detalle

Los productos de Cleo mencionados permiten la carga y la descarga de archivos sin restricciones, una situación que podría conducir a la ejecución remota de código (RCE) por parte de un atacante no autenticado. Se ha asignado el identificador CVE-2024-50623 para esta vulnerabilidad.

[Actualización 12/12/2024] Adicionalmente, Huntress ha descubierto que la versión correctora para solucionar CVE-2024-50623 no mitiga completamente el fallo en el software afectado, lo que sigue permitiendo a los atacantes ejecutar código remoto en los productos afectados aprovechando una vulnerabilidad de escritura arbitraria de archivos. Para solucionar esta vulnerabilidad se deben actualizar los productos a la versión 5.8.0.24. No se ha asignado identificador CVE para esta vulnerabilidad..

Listado de referencias

Cleo Product Security Advisory - CVE-2024-50623

[Actualización 12/12/2024] Cleo Product Security Advisory (CVE Pending)

Threat Advisory: Oh No Cleo! Cleo Software Actively Being Exploited in the Wild

[Actualización 12/12/2024] Cleo Harmony, VLTrader, and LexiCom - RCE via Arbitrary File Write (CVE-2024-50623)

Etiquetas