CVE-2024-55956 está siendo explotada activamente en entornos reales, atacando las herramientas de transferencia de archivos de Cleo: Harmony, VLTrader y LexiCom. Un conocido grupo de ransomware, Cl0p, se ha atribuido la responsabilidad de estos ataques, los cuales aprovechan una vulnerabilidad que permite la ejecución remota de código. La Agencia de Ciberseguridad y de Infraestructura (CISA) ha añadido esta vulnerabilidad a su catálogo KEV (Vulnerabilidades Explotadas Conocidas) y ha ordenado a las agencias federales aplicar el parche antes de enero de 2025.
| Producto | Productos Cleo |
| Fecha | 18-12-2024 09:25:52 |
| Información |
|
Resumen técnico
La vulnerabilidad, identificada como CVE-2024-55956, afecta a las versiones de Cleo Harmony, VLTrader y LexiCom anteriores a la 5.8.0.24. La explotación ocurre debido a una gestión inadecuada de la configuración predeterminada en el directorio Autorun, lo que permite a atacantes no autenticados importar y ejecutar comandos arbitrarios de Bash o PowerShell. Esta falla tiene una causa raíz distinta a la CVE-2024-50623, aunque ambas vulnerabilidades afectan a una base de código y endpoints similares. Los atacantes han aprovechado esta debilidad para realizar actividades de reconocimiento, ejecutar comandos, exfiltrar archivos confidenciales y desplegar ransomware, con un impacto significativo en las organizaciones afectadas.
Recomendaciones
Actualizar a la última versión segura: Para Harmony, VLTrader y LexiCom, actualice inmediatamente a la versión 5.8.0.24 o superior.
[Callforaction-THREAT-Footer]