Een kritieke kwetsbaarheid in de file sharing software van softwarebedrijf Cleo wordt gebruikt bij ransomware-aanvallen, zo heeft het Amerikaanse cyberagentschap CISA bevestigd. Eerder stelden beveiligingsonderzoekers al dat dit het geval was. De waarschuwing gaat over een beveiligingslek aangeduid als CVE-2024-50623, en niet een andere actief aangevallen kwetsbaarheid in de software van Cleo, dat in eerste instantie geen CVE-nummer had maar inmiddels bekendstaat als CVE-2024-55956.

Cleo’s LexiCom, VLTransfer en Harmony software laat organisaties bestanden uitwisselen. Het bedrijf claimt meer dan 4200 klanten wereldwijd te hebben. Een 'unrestricted file upload and download' kwetsbaarheid (CVE-2024-50623) in Cleo Harmony, Cleo VLTrader en Cleo LexiCom maakt remote code execution mogelijk, aldus een eind oktober verschenen beveiligingsbulletin van Cleo.

Begin deze maand werd grootschalig misbruik gemeld, waarbij securitybedrijf Huntress stelde dat de update die Cleo had uitgebracht het probleem niet volledig verhielp. Cleo is nu met een nieuwe update gekomen voor de kwetsbaarheid aangeduid als CVE-2024-55956. Dit beveiligingslek maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bash- of PowerShell-commando's op het systeem uit te voeren.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat CVE-2024-50623 bij ransomware-aanvallen is gebruikt. Het CISA heeft Amerikaanse overheidsdiensten die van de Cleo-software gebruikmaken opgedragen de update voor 3 januari te installeren. Het cyberagentschap heeft nog geen melding van CVE-2024-55956 gemaakt.