Lecții de la Exploit Cleo: Dovezile demonstrează de ceMFT Secure este esențial 

În decembrie 2024, cercetătorii în domeniul securității cibernetice au descoperit o vulnerabilitate alarmantă de execuție de cod de la distanță (RCE) de tip zero-day în produsele de transfer de fișiere gestionate de Cleo, după cum a raportat pentru prima dată CSO Online.

Atacatorii au exploatat în mod activ această deficiență în mediul natural, ocolind chiar și patch-urile emise recent. În ciuda actualizărilor de securitate inițiale ale Cleo, actorii amenințători au reușit să continue compromiterea sistemelor actualizate, dezvăluind deficiențe adânc înrădăcinate în gestionarea fișierelor de bază, validarea intrărilor și rezistența platformei.

Acest ultim incident face parte dintr-o tendință îngrijorătoare: soluțiile gestionate de transfer de fișiere au devenit ținte principale pentru atacurile cibernetice sofisticate. Aceste platforme, responsabile pentru transferul securizat de fișiere cu date extrem de sensibile prin canale de încredere, reprezintă un punct de intrare atractiv pentru atacatori.

O breșă într-un mediu MFT (managed file transfer) poate declanșa rezultate catastrofale, de la scurgeri de date sistemice și încălcări ale reglementărilor până la întreruperi operaționale în sectoare de infrastructură critică, toate acestea putând cauza daune grave reputației.

Secure MFT nu mai este opțional în mediile de infrastructură critică. Organizațiile trebuie să treacă dincolo de patch-uri reactive și soluții antivirus unice. În schimb, organizațiile trebuie să adopte arhitecturi de securitate proactive, multistrat, avansate, concepute special pentru a apăra operațiunile MFT împotriva amenințărilor moderne.

În prezent, următoarele nu mai sunt bune practici, ci necesități operaționale:

La sfârșitul anului 2024, cercetătorii în domeniul securității au identificat exploatarea activă a unei vulnerabilități critice de execuție de cod de la distanță de tip zero-day în produsele Cleo de transfer gestionat de fișiere. Soluțiile afectate includeau Cleo LexiCom, Cleo VLTrader și Cleo Harmony, utilizate pe scară largă în mediile întreprinderilor.

Cleo LexiCom este un client MFT bazat pe desktop pentru conectarea la principalele rețele de tranzacționare. Cleo VLTrader oferă capabilități MFT la nivel de server pentru întreprinderile mijlocii, în timp ce Cleo Harmony vizează satisfacerea nevoilor de integrare și transfer securizat de fișiere ale întreprinderilor mari.

Chiar și după ce a fost emis un patch de securitate inițial în octombrie 2024, atacatorii au continuat să țintească cu succes sistemele Cleo, exploatând punctele slabe care nu au fost abordate pe deplin, după cum a raportat Darktrace în decembrie 2024.

Echipele de securitate au îndemnat organizațiile să deconecteze imediat serverele afectate de la internet și să implementeze măsuri temporare de atenuare în așteptarea unei soluții mai complete.

1. Exploatarea unei vulnerabilități de încărcare a fișierelor pentru scrierea neautorizată a fișierelor
2. Introducerea de fișiere malițioase în folderul "Autorun", declanșând executarea automată
3. Exploatarea funcției autorun pentru a implementa un lanț de sarcini utile care implică arhive ZIP, fișiere de configurare XML și comenzi PowerShell malițioase

Investigațiile ulterioare au evidențiat semne ale unor tactici avansate ale atacatorilor, cum ar fi recunoașterea Active Directory, ștergerea ascunsă a fișierelor și implementarea unui backdoor Java personalizat cunoscut sub numele de Cleopatra.

Încălcarea Cleo nu este un incident izolat. În ultimii câțiva ani, sistemele gestionate de transfer de fișiere au devenit ținte principale pentru actorii cu amenințări sofisticate. Fișierele sensibile schimbate prin intermediul acestor platforme sunt adesea strâns legate de operațiunile comerciale, datele clienților sau informațiile reglementate, ceea ce face ca recompensa pentru compromiterea cu succes să fie extrem de mare. 

Cazurile anterioare foarte mediatizate, cum ar fi MOVEit Transfer, Accellion File Transfer Appliance și Fortra GoAnywhere, arată un model consecvent: actorii de amenințare se concentrează pe tehnologiile de transfer de fișiere ca punct strategic de intrare în rețelele întreprinderilor.  

Incidentul Cleo întărește faptul că chiar și organizațiile cu sisteme actualizate și cu patch-uri sunt în pericol dacă soluțiile MFT nu sunt concepute cu principii de securitate integrate, pe mai multe niveluri.

Explozia Cleo evidențiază nevoia de soluții MFT care nu se bazează doar pe patch-uri, ci sunt construite de la zero cu controale de securitate multistrat. MetaDefender Managed File Transfer MFT) este proiectat pentru medii de securitate în care controlul transferului bazat pe politici, prevenirea amenințărilor pe mai multe niveluri, guvernanța centralizată și izolarea strictă a zonelor sunt esențiale.

Securizarea primelor puncte de contact este esențială. MetaDefender MFT consolidează controalele de acces pentru a bloca intrarea neautorizată înainte ca atacatorii să poată încărca fișiere malițioase sau să obțină un punct de sprijin în rețea.

• Control de accesSecure : Restricționează accesul MetaDefender MFT la rețele interne de încredere sau rețele securizate VPN. Acest lucru previne expunerea directă la atacatorii externi care încearcă să încarce sarcini utile malițioase.
• Autentificare multifactorială (MFA): Aplică un nivel suplimentar de verificare a utilizatorului. Chiar dacă credențialele sunt furate, atacatorii nu pot obține cu ușurință acces neautorizat.
• Controale de acces bazate pe roluri cu aprobări ale supervizorului: Aplică permisiuni granulare pentru utilizatori și fluxuri de lucru. Chiar și utilizatorii autentificați trebuie să primească aprobarea supraveghetorului pentru acțiunile critice de încărcare și descărcare.

Stoparea fișierelor malițioase la poartă previne avansarea atacurilor în interiorul sistemului. MetaDefender MFT analizează temeinic datele primite înainte ca orice conținut malițios să poată fi activat. 

• Pipeline de inspecție profundă a fișierelor: Identifică și blochează fișierele deghizate sub extensii false. Arhivele ZIP sau fișierele XML malițioase sunt detectate la punctul de încărcare.  
• Detectarea țării de origine: Verifică fișierele primite în funcție de geolocație. Fișierele provenite din regiuni restricționate sau cu risc ridicat pot fi blocate automat. 
• Extracție arhivă și scanare conținut: Descompune complet fișierele comprimate înainte de transfer. Acest lucru expune programele malware ascunse în arhivele imbricate, cum ar fi exploatările PowerShell. Aflați mai multe despre fișierele arhivate și amenințarea pe care o reprezintă aici. 

Pentru a vă apăra împotriva amenințărilor avansate și necunoscute este necesar să mergeți dincolo de scanarea statică. MetaDefender MFT aplică scanarea cu mai multe motoare și neutralizează riscurile la nivelul conținutului. 

• Metascan™ Multiscanning cu peste 30 de motoare: Scanează simultan fiecare fișier cu mai multe motoare antivirus și de detectare a amenințărilor. Programele malware și fișierele de tip webshell sunt blocate înainte de execuție. Aflați mai multe despre Multiscanning aici. 
• Deep CDR™ (Content Disarm & Reconstruction): Reconstruiește fișierele prin eliminarea elementelor active sau executabile. Versiunile curate și sigure ale fișierelor sunt livrate în timp ce amenințările ascunse sunt neutralizate. Aflați cum Deep CDR regenerează fișierele aici. 
• File-Based Vulnerability Assessment: Analizează fișierele pentru vulnerabilități cunoscute care ar putea fi exploatate ulterior. Acest lucru detectează tipurile de documente înarmate înainte de rulare.