ISGroup Consultoría de Ciberseguridad

Explotación de vulnerabilidades en Cleo Harmony, VLTrader y LexiCom

Un ataque activo está teniendo como objetivo los softwares Cleo Harmony®, VLTrader® y LexiCom®. Estas soluciones ampliamente utilizadas para la gestión de transferencia de archivos resultan vulnerables a la CVE-2024-50623, una falla que permite la ejecución de código remoto (RCE) sin autenticación. A pesar de que Cleo ha lanzado un parche para la versión 5.8.0.21, los investigadores han confirmado que este resulta ineficaz, dejando los sistemas aún expuestos.

ProductoCleo Products
Fecha2024-12-12 15:58:23
Información
  • Tendencia
  • Explotación activa

Resumen técnico

La vulnerabilidad reside en la gestión inadecuada de los archivos en el directorio autorun, los cuales son procesados y ejecutados automáticamente. Las trazas detectadas en los archivos de registro (logs) muestran que los atacantes aprovechan archivos especialmente preparados para iniciar importaciones no autorizadas y ejecutar comandos de PowerShell. Estas actividades conducen a la ejecución arbitraria de código, permitiendo a los ciberdelincuentes comprometer los sistemas y expandir su alcance. Las instalaciones afectadas se encuentran generalmente en el sistema de archivos raíz (C:\LexiCom, C:\VLTrader o C:\Harmony) o en directorios estándar como C:\Program Files (x86).

Las siguientes versiones de software resultan vulnerables:

  • Cleo Harmony (5.8.0.21 y anteriores)
  • Cleo VLTrader (5.8.0.21 y anteriores)
  • Cleo LexiCom (5.8.0.21 y anteriores)

Recomendaciones

  • Limitar la exposición en la red: colocar inmediatamente los sistemas Cleo expuestos a Internet detrás de un firewall para impedir el acceso externo.

  • Monitorear Indicadores de Compromiso (IoC): revisar los directorios de instalación en busca de archivos inusuales en la carpeta autorun y verificar los registros en busca de actividades no autorizadas. Prestar especial atención a archivos como healthchecktemplate.txt o main.xml que podrían indicar intentos de explotación.

  • Esperar y aplicar parches actualizados: seguir las comunicaciones oficiales de Cleo y aplicar puntualmente cualquier actualización futura que corrija la causa principal de la vulnerabilidad.

[Callforaction-THREAT-Footer]

In