0
0
Por Gabi Sharadin, Muly Levy
O grupo de ransomware Clop demonstrou mais uma vez sua capacidade de explorar vulnerabilidades para comprometer sistemas sensíveis. Enquanto a Cleo—um provedor de transferência de arquivos gerenciado para empresas—enfrenta as consequências de um ataque direcionado aos seus sistemas, o foco recai sobre as vulnerabilidades críticas CVE-2024-50623 e CVE-2024-55956, que possibilitaram essas violações.
Neste artigo, faremos um panorama dessas vulnerabilidades, destacaremos as observações da Imperva sobre a exploração delas e explicaremos como nossas soluções ajudam a mitigar esses riscos.
As Vulnerabilidades Exploradas: Uma Análise Detalhada
As vulnerabilidades CVE-2024-50623 e CVE-2024-55956 são críticas no software da Cleo, amplamente utilizado para transferência segura de arquivos e integração de dados.
- CVE-2024-50623: Permite upload e download de arquivos sem restrições, podendo levar à execução remota de código.
- CVE-2024-55956: Permite que usuários não autenticados importem e executem comandos arbitrários em Bash ou PowerShell.
Essas vulnerabilidades fornecem meios para exfiltração de dados e execução de cargas maliciosas, como demonstrado pelos ataques do Clop.
Clientes da Imperva estão protegidos contra ambas as vulnerabilidades.
O que a Imperva Observou
Desde a divulgação dessas falhas, monitoramos mais de 1 milhão de tentativas de exploração, direcionadas a cerca de 10.000 sites em 60 países, com foco significativo nos Estados Unidos e na Austrália. Setores como Serviços Financeiros e Governo têm sido os principais alvos.
As análises dos ataques revelaram o uso de ferramentas automatizadas baseadas em Go para tentar escrever arquivos nos sistemas-alvo. Esses arquivos iniciais invocam scripts em PowerShell que, por sua vez, baixam arquivos JAR de endereços IP externos, garantindo a persistência do ataque.
Características dos Ataques
- Persistência:
Os atacantes utilizam ferramentas legítimas do sistema ou modificam configurações (como chaves de registro) para garantir que o malware persista após reinicializações. - Ransomware e Extorsão:
Além de criptografar arquivos, o Clop rouba dados sensíveis antes do ataque. Em seguida, ameaça publicar ou vender os dados caso o resgate não seja pago. - Histórico de Exploração:
Em 2023, o Clop explorou vulnerabilidades nos softwares GoAnywhere MFT e MOVEit, comprometendo mais de 130 organizações e arrecadando aproximadamente US$ 75 milhões em resgates.
Como Prevenir Ataques Semelhantes?
Os ataques contra a Cleo ressaltam a importância de:
- Gerenciamento proativo de vulnerabilidades: Implementação de patches de segurança para mitigar riscos de CVEs conhecidos.
- Soluções avançadas de proteção: Tecnologias de detecção e prevenção de ameaças, como as oferecidas pela Imperva, para defender sistemas críticos contra ameaças em evolução.
Indicadores de Comprometimento (IoCs)
103.140.62.43
146.190.133.67
162.240.110.250
213.136.77.58
A Imperva continua dedicada a proteger seus clientes contra ameaças emergentes, fortalecendo a segurança dos sistemas diante de um cenário de ameaças cada vez mais sofisticado.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.