Cleo veri ihlali: Cl0p, ilk kurban olarak Blue Yonder'i açıkladı
Daha önce MOVEit, GoAnywhere ve Accelion gibi dosya tranfer çözümlerindeki güvenlik açıklıklarından yararlanarak bu ürünlere yönelik fidye yazılım saldırısı düzenleyen Cl0p fidye yazılım grubunun bu seferki hedefi Cleo oldu.
Cleo'nun güvenli dosya transfer çözümleri Harmony, LexiCom ve VLTrader'ı etkileyen CVE-2024-50623 referansıyla takip edilen güvenlik açığı, bir saldırganın uzaktan kod çalıştırılmasına olanak vererek sınırsız dosya yüklemesine ve indirmesine izin veriyor. Şirket, Ekim 2024'te müşterilerin bu güvenlik açığından korunmaları için 5.8.0.21 sürümüne yükseltmelerini tavsiye etmişti. Ancak ilerleyen süreçte bu düzeltemenin eksik olduğu ve tehdit aktörleri tarafından kullanıldığı ortaya çıktı.
Cleo'daki CVE-2024-50623 referansıyla takip edilen güvenlik açığının aktif bir şekilde istismar edilmesi haberi Hunters'daki güvenlik araştırmacıları tarafından ortaya çıkarıldı. Araştırmacılar, yayınladıkları PoC (kavram kanıtı olarak)dan sonra Cleo'nun 5.8.0.21 sürümünü çalıştıran yamanlanmış versiyonlarının dahi hala istismar edilebildiğini belirtti.
Hunters telemetrilerine göre CVE-2024-50623'ün aktif olarak istismar edilmesine dair kanıtlar 3 Aralık 2024'te başlayıp, 8 Aralık'ta daha yüksek seviyelere çıkmış ve Cleo sunucuları tehlikeye atılmış en az 10 işletme tespit edilmiş.
Bir diğer siber güvenlik şirketi Sophos'un kendi telemetrilerine göre Cleo ürünlerine yönelik saldırıların 6 Aralık 2024'te başladığı, öncelikli olarak perakende sektöründe olmak üzere Kuzey Amerika'daki 50'den fazla benzersiz ana bilgisayarın hedef alındığı tespit edilmiş.
Panasonic'in sahibi olduğu yazılım devi Blue Yonder, 21 Kasım'da fidye yazılım saldırısı yaşadı ve 6 Aralık'ta Termite fidye yazılım grubu tarafından üstlenildi. Çok fazla kanıt olmamasına karşın Termite grubunun Cleo'daki CVE-2024-50623 açığını istismar ettiği de düşünülüyor.
Cl0p fidye yazılım grubu ortaya çıktı ve saldırıları üstlendi
Daha önce MOVEit, GoAnywhere, Accelion ve SolarWinds Serv-U FTP gibi dosya tranfer çözümlerindeki güvenlik açıklıklarından yararlanarak bu ürünlere yönelik fidye yazılım saldırısı düzenleyen Cl0p fidye yazılım grubu, 13 Aralık 2024 tarihinde Cleo'daki güvenlik açığını istismar etttiğini duyurdu.
15 Aralık tarihinde grup tarafından Bleeping Computer'a bir demeç verilerek Cleo veri hırsızlığı saldırılarının arkasında olduklarını, kurumsal ağlara sızmak ve verileri çalmak için CVE-2024-50623 ve CVE-2024-55956 olarak izlenen güvenlik açıklarını kullandıklarını doğruladı.
Cleo'nun Autorun dizininde CVE-2024-55956 adlı yeni bir güvenlik açığı 10 Aralık'ta keşfedildi. Bu güvenlik açığının, CVE-2024-50623'den farklı olduğu da belirtilenler arasında yer alıyor. Cleo tarafından 15 Aralık'ta bununla ilgili yeni bir duyuru yayınlandı.
CISA tarafından doğrulandı ve her iki CVE'de KEV kataloğuna eklendi
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE-2024-50623'ün aktif olarak istismar edildiğini doğruladı ve 13 Aralık'ta Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklediğini duyurdu.
CVE-2024-55956 güvenlik açığı da 17 Aralık tarihinde KEV kataloğuna eklendi.
24 Aralık: Cl0p, 66 şirketi kurban olarak duyurdu ancak detay yayınlamadı!
24 Aralık 2024 tarhinde Cl0p fidye yazılım grubu tarafından kendileriyle müzakerelere girmeyen 66 şirketin kısmi isimlerini duyurdu. Eğer kendileriyle iletişime geçmemeye devam etmeleri durumunda 48 saat içerisinde tam isimlerini ifşa etmekle tehdit etti.
Ancak kurban listesinin daha uzun olması pek muhtemel çünkü CLop, listenin iletişime geçilen ancak mesaja yanıt vermeyen mağdurları temsil ettiğini belirtiyor.
25 Aralık: Cl0p, Blue Yonder'i açıkladı
48 saatin dolması üzerine Cl0p fidye yazılım grubu, 25 Aralık 2024 Çarşamba günü daha önce Termite tarafından duyurulan Blue Yonder'i ilk kurban olarak açıkladı. Grup, Blue Yonder'in görmezden gelmeye devam etmesi durumunda çaldıkları verileri yayınlamakla tehdit etti.
Bunun dışında başka bir kurban yayınlanmadı ve yeni tarih olarak 30 Aralık duyuruldu.
