Utilizan 'software' de transferencia de archivos para lanzar ataques que permiten la ejecución de código en remoto

Investigadores han descubierto que un grupo de ciberdelincuentes está empleando 'software' de transferencia de archivos para implementar ataques masivos, aprovechando una vulnerabilidad que permitía la ejecución de código no autentificado en remoto.

Esta vulnerabilidad, identificada como CVE-2024-50623, afecta a las versiones anteriores a la 5.8.0.21 de los programas LexiCom, VLTransfer y Harmony desarrollados por la compañía de 'software' Cleo, según han concretado los expertos de la empresa de ciberseguridad Huntress.

El pasado 3 de diciembre, esta firma advirtió una amenaza emergente en los comentados programas, que habitualmente se emplean para administrar transferencias de archivos y que a menudo se instalan directamente en el sistema como opción predeterminada sugerida durante el proceso de descarga.

Esta vulnerabilidad de carga y descarga de archivos sin restricciones podía provocar la ejecución remota de código malicioso en ataques masivos y también permitía a los ciberdelincuentes realizar "actividades" posteriores a la explotación, según ha explicado Huntress en su blog.

La firma de ciberseguridad ha señalado que según sus investigaciones ha descubierto al menos 10 empresas cuyos servidores Cleo se vieron comprometidos en este ataque y que se observó "un aumento notable" de la explotación de la falla el pasado 8 de diciembre.

Además, ha adelantado que la mayor parte de los afectados pertenecen a la industria de productos de consumo, alimentaria, de transporte y de envíos. No obstante, hay otras empresas que también podrían estar en peligro en diferentes partes del mundo.

Desde Huntress han adoptado "un enfoque triple" para detectar, investigar y responder de forma eficaz a la amenaza. Además de crear una guía de investigación interna para mantener segura a su comunidad de usuarios, ha neutralizado esta amenaza en los 'endpoints' donde aparecía aprovechando la función de bloqueo de IP.

Tras conocer esta vulnerabilidad, Cleo ha recomendado a todos los clientes la actualización de estas instancias con el último parche publicado "para abordar otros posibles vectores de ataque descubiertos de la vulnerabilidad".

No obstante, desde Huntress han señalado que a pesar de esta actualización, se ha descubierto que el parche compartido por Cleo no mitiga el error del 'software' y ha recomendado utilizar un cortafuegos ('firewall') hasta que finalmente se publique una actualización que neutralice la vulnerabilidad.