依据 CISA 最新发现，承认 Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个要害安全缝隙正在被勒索软件进犯所运用。

  此缝隙编号为 CVE-2024-50623，影响 5.8.0.21 之前的一切版别，使未经身份验证的进犯者，可以在在线露出的易受进犯的服务器上长途履行代码。

  Cleo 于 10 月份发布了安全更新来修正该问题，并正告悉数客户“当即晋级实例”以应对其他潜在的进犯前言。现在没有泄漏 CVE-2024-50623 是在野外的进犯方针。但是，CISA 将该安全缝隙添加到其已知被运用缝隙的目录中，并将其标记为用于勒索软件活动。

  在添加到 KEV 目录后，美国联邦组织一定要依照 2021 年 11 月发布的具有约束力的操作指令 (BOD 22-01) 的要求，在 1 月 3 日之前提出申请，保证其网络免受进犯。

  尽管网络安全组织没提供有关针对易受 CVE-2024-50623 缝隙，运用的 Cleo 服务器的勒索软件活动的任何其他信息，但这些进犯与之前运用 MOVEit Transfer、GoAnywhere MFT 中的零日缝隙的 Clop 数据偷盗进犯惊人地类似，以及近年来的Accellion FTA。

  一些人还以为该缝隙被 Termite 勒索软件操作所运用。但是，这个链接仅仅由于 Blue Yonder 具有露出的 Cleo 软件服务器，并且在勒索软件团伙宣称的网络进犯中遭到损坏。

  正如 Huntress 安全研究人员初次发现的那样，经过全面修补的 Cleo 服务器依然遭到要挟，很或许运用 CVE-2024-50623 绕过（没有收到 CVE ID），使进犯者可以导入和履行恣意 PowerShell 或 bash 指令经过运用默许的主动运转文件夹设置。

  Cleo 现已发布补丁来修正这个被活跃运用的零日缝隙，并敦促客户赶快晋级到版别 5.8.0.24，以维护露出在网络上的服务器免受损坏测验。运用补丁后，体系会记载启动时发现的与此缝隙相关的任何文件的过错，并删去这些文件。

  主张无法当即晋级的管理员经过从体系选项中铲除 Autorun 目录来禁用主动运转功用，以削减进犯面。正如 Rapid7 在查询零日进犯时发现的那样，要挟者运用零日进犯来删去 Java Archive (JAR) 有用负载 [VirusTotal]，该负载是更大的依据 Java 的后运用结构的一部分。

  Huntress 也剖析了该歹意软件并将其命名为 Malichus，现在只发现它布置在 Windows 设备上。

  依据另一家查询正在进行进犯的网络安全公司 Binary Defense ARC Labs 的说法，歹意软件操作者可以正常的运用 Malichus 进行文件传输、指令履行和网络通信。

  到现在为止，Huntress 已发现多家公司的 Cleo 服务器遭到侵略，并表明或许还有其他潜在受害者。Sophos 的 MDR 和实验室团队还在 50 多个 Cleo 主机上发现了退让痕迹。截止到现在，Cleo 发言人承认 CVE-2024-50623 缝隙已被作为零日进犯运用。