轉載「Cleo三款MFT檔案傳輸系統零時差漏洞已出現攻擊行動，駭客用來竊取企業內部資料」訊息

 Cleo三款MFT檔案傳輸系統零時差漏洞已出現攻擊行動，駭客用來竊取企業內部資料

資安業者Huntress揭露針對Cleo旗下MFT檔案傳輸系統Harmony、VLTrader、LexiCom的零時差漏洞攻擊，這樣的情況得到Cleo證實，該公司打算在一週內發布修補程式。

 最近幾年駭客鎖定MFT檔案傳輸系統下手的情況，陸續傳出事故，其中又以去年5月發生的MOVEit Hack事故最為嚴重，全球估計超過2,600家企業組織受害，外洩近9千萬筆個資，到了近期仍有駭客公布新的資料。因此，有關MFT檔案系統的弱點，或是零時差漏洞攻擊事故，都格外引起資安界高度關注。

本週一（12月9日）資安業者Huntress提出警告，他們從3日開始察覺Cleo旗下MFT檔案傳輸系統Harmony、VLTrader、LexiCom遭到鎖定的跡象，駭客對於這些MFT系統進行大規模的後利用活動，並在8日出現大幅增加的情況。

值得留意的是，攻擊者疑似針對一項10月底公布的漏洞CVE-2024-50623而來，但研究人員指出，Cleo當時發布的更新5.8.0.21版修補不全，攻擊者照樣能對上述完全修補的系統利用該漏洞發動攻擊，他們也向Cleo通報此事，並呼籲用戶將曝露於網際網路的MFT系統移至防火牆後方，以免成為攻擊者下手的目標。

究竟攻擊如何發生？研究人員根據MFT系統的事件記錄進行分析，指出攻擊者一開始很可能在autorun資料夾植入名為healthchecktemplate.txt的檔案，而在MFT系統偵測到就立即進行讀取、解譯，並確認目標系統的版本後，便匯入特定的本機暫存檔案（.TMP），而此檔實際上是ZIP壓縮檔，當中內含main.xml檔案，攻擊者藉此啟動PowerShell命令，並執行程式碼。而對於攻擊者下達命令的確切內容，研究人員表示，礙於healthchecktemplate.txt執行後就自行刪除，他們無從得知相關資訊。

在攻擊者執行PowerShell命令後，受害電腦會連到外部IP位址並搜尋JAR檔案，以便後續於受害電腦植入Web Shell，使得攻擊者能持續於MFT系統活動。

而對於攻擊的來源，研究人員發現6個IP位址，來自摩爾多瓦、荷蘭、加拿大、立陶宛、美國。截至目前為止，至少有10家企業組織受害，涵蓋消費性產品、食品工業、貨運、物流業。這波攻擊在8日出現大幅增加的情況。

Huntress也向Cleo通報漏洞修補不全的情況，並提供概念性驗證（PoC）。Cleo確認研究人員的發現，並準備登記新的CVE編號，打算在一週內發布新的修補程式。

 

【資安新聞-iThome】

Cleo三款MFT檔案傳輸系統零時差漏洞已出現攻擊行動，駭客用來竊取企業內部資料

詳細資訊請參考：https://www.ithome.com.tw/news/166461