Aggregator

CISA 已确认，Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个关键安全漏洞正在被勒索软件攻击所利用。

此漏洞编号为 CVE-2024-50623，影响 5.8.0.21 之前的所有版本，使未经身份验证的攻击者，能够在在线暴露的易受攻击的服务器上远程执行代码。

Cleo 于 10 月份发布了安全更新来修复该问题，并警告所有客户“立即升级实例”以应对其他潜在的攻击媒介。目前尚未透露 CVE-2024-50623 是在野外的攻击目标。然而，CISA 将该安全漏洞添加到其已知被利用漏洞的目录中，并将其标记为用于勒索软件活动。

在添加到 KEV 目录后，美国联邦机构必须按照 2021 年 11 月发布的具有约束力的操作指令 (BOD 22-01) 的要求，在 1 月 3 日之前提出申请，确保其网络免受攻击。

虽然网络安全机构没有提供有关针对易受 CVE-2024-50623 漏洞，利用的 Cleo 服务器的勒索软件活动的任何其他信息，但这些攻击与之前利用 MOVEit Transfer、GoAnywhere MFT 中的零日漏洞的 Clop 数据盗窃攻击惊人地相似，以及近年来的Accellion FTA。

一些人还认为该漏洞被 Termite 勒索软件操作所利用。然而，这个链接只是因为 Blue Yonder 拥有暴露的 Cleo 软件服务器，并且在勒索软件团伙声称的网络攻击中遭到破坏。

Cleo 零日漏洞也被积极利用

正如 Huntress 安全研究人员首次发现的那样，经过全面修补的 Cleo 服务器仍然受到威胁，很可能使用 CVE-2024-50623 绕过（尚未收到 CVE ID），使攻击者能够导入和执行任意 PowerShell 或 bash 命令通过利用默认的自动运行文件夹设置。

Cleo 现已发布补丁来修复这个被积极利用的零日漏洞，并敦促客户尽快升级到版本 5.8.0.24，以保护暴露在互联网上的服务器免受破坏尝试。应用补丁后，系统会记录启动时发现的与此漏洞相关的任何文件的错误，并删除这些文件。

建议无法立即升级的管理员通过从系统选项中清除 Autorun 目录来禁用自动运行功能，以减少攻击面。正如 Rapid7 在调查零日攻击时发现的那样，威胁者利用零日攻击来删除 Java Archive (JAR) 有效负载 [VirusTotal]，该负载是更大的基于 Java 的后利用框架的一部分。

Cleo 攻击流程

Huntress 也分析了该恶意软件并将其命名为 Malichus，目前只发现它部署在 Windows 设备上。

根据另一家调查正在进行攻击的网络安全公司 Binary Defense ARC Labs 的说法，恶意软件操作者可以使用 Malichus 进行文件传输、命令执行和网络通信。

到目前为止，Huntress 已发现多家公司的 Cleo 服务器遭到入侵，并表示可能还有其他潜在受害者。Sophos 的 MDR 和实验室团队还在 50 多个 Cleo 主机上发现了妥协迹象。截止到目前，Cleo 发言人确认 CVE-2024-50623 漏洞已被作为零日攻击利用。

2024 年 12 月 ， 网络安全解决方案先驱者和全球领导者 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）今日宣布，该公司在 2024 年 Gartner® 电子邮件防护平台 (ESP) 魔力象限™ 报告中被评为领导者。Check Point 通过 Harmony Email Collaboration 提供强大的电子邮件安全防护，不仅可以保护电子邮件和协作应用免受高级威胁的侵害，而且还支持与 Check Point Infinity 平台无缝集成，以实现统一保护。作为 API 领域独一无二的安全厂商，Check Point 凭借出色的电子邮件安全客户端服务和支持能力，以及强大的检测能力，赢得了 Gartner® 的高度认可。

各种规模的企业都需要强大的威胁检测功能来保护其电子邮件系统，确保核心业务不间断运行。根据 Check Point 的《2024 年安全报告》，电子邮件仍是初始感染的主要入口，88% 的恶意文件通过电子邮件进行传播。此外，Check Point Research 报告称，2024 年第三季度全球网络攻击次数骤增 75%。这些触目惊心的数字凸显了加强电子邮件安全防护措施的重要性。

Check Point 软件技术有限公司电子邮件安全副总裁 Gil Friedrich 表示：“在过去的三年里，Harmony Email & Collaboration 赢得了众多分析公司的一致好评。Check Point 很荣幸被 Gartner 评为电子邮件安全领域的领导者，衷心感谢各位客户和合作伙伴对 Check Point 的高度信任。作为发展速度最快的电子邮件安全厂商之一，Check Point 致力于提供业界领先的电子邮件安全防护解决方案，以有效保护所有用户的安全，无论他们身在何处或使用何种设备和应用。”

Check Point 使用基于 API 的内联防护来确保云托管电子邮件和协作工具的安全，可为客户提供：

· 基于 API 的创新型电子邮件安全防护：借助我们基于 API 的开创性电子邮件安全解决方案，企业可利用内联扫描功能和强大保护措施有效防范商业电子邮件入侵 (BEC) 和各种攻击，防护效果远超传统安全电子邮件网关

· 高级威胁检测：Harmony Email Collaboration 集成了强大的威胁检测功能，可增强对端点、移动设备和网络安全系统的保护，提供针对攻击行为的深入洞察

· 先进的 DLP 和 DMARC 功能：作为 API 领域的佼佼者，Harmony Email Collaboration 提供了一款全面的解决方案，具有基于域的消息身份验证 (DMARC)、数据丢失防护 (DLP) 等功能

网络安全领域的创新先锋

Check Point 认为，之所以能被 Gartner 评为电子邮件安全领域的领导者，要归功于其坚持不懈的创新和先进的 AI 技术。贝拉维斯塔业主协会 (Bella Vista Property Owners Association) IT 经理 Jack Brooks 表示：“Harmony Email and Collaboration 就像一位高度机警的数字卫士，可确保专为加强团队协作而设计的工具不会沦为网络威胁或数据泄露的渠道。其 API 能够与我们的协作式云平台无缝集成，并提供一个透明的安全防护层，而不会影响工作效率。它可有效拦截通过 Teams 聊天或 SharePoint 共享文档中的恶意链接实施的网络钓鱼攻击，并将数据丢失防护策略应用到整个协作生态系统中。”

Harmony Email Collaboration 是 Check Point Infinity 平台的一部分，后者是一个全面的平台，可跨数据中心、网络、云服务、分支机构和远程用户提供卓越的安全防护，并通过单个统一界面管理一切。

Gartner 免责声明

Gartner 对其研究刊物中所涉及的任何厂商、产品或服务不持任何立场，也不建议技术用户仅选择评级最高或其他称号的厂商。Gartner 研究刊物包含了 Gartner 研究机构的观点，但不构成事实陈述。关于本研究的内容，Gartner 公司不作任何明示或暗示的担保，包括任何适销性或适用性的担保。

GARTNER 是 Gartner, Inc. 和/或其在美国和国际上的分支机构的注册商标和服务标志，MAGIC QUADRANT 和 PEER INSIGHTS 是 Gartner, Inc. 和/或其分支机构的注册商标，经许可用于本文中。版权所有。

Gartner Peer Insights 内容代表了最终用户根据自身经验表达的个人意见，但不构成事实陈述，也不代表 Gartner 或其分支机构的观点。Gartner 对本内容中所涉及的任何厂商、产品或服务不持任何立场，也不对本内容的准确性或完整性做任何明示或暗示的担保，包括针对特定用途的任何适销性或适用性方面的担保。