CVE-2024-50623

Cleo Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-13

Официальное описание

Cleo Harmony, VLTrader, and LexiCom, which are managed file transfer products, contain an unrestricted file upload and download vulnerability that can lead to remote code execution with elevated privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-50623 представляет собой критическую уязвимость в продуктах Cleo (Harmony, VLTrader и LexiCom), связанную с неограниченной загрузкой и скачиванием файлов (Unrestricted File Upload/Download).

Проблема заключается в недостаточной проверке путей и прав доступа при обработке файловых операций через веб-интерфейс управления или API. Злоумышленник может обойти ограничения каталога (Path Traversal), что позволяет: 1. Загружать произвольные исполняемые файлы (например, JSP-шеллы) в системные директории веб-сервера. 2. Скачивать конфиденциальные файлы конфигурации, содержащие учетные данные и ключи шифрования. 3. Выполнять произвольный код (RCE) с привилегиями учетной записи, под которой запущен сервис Cleo (часто SYSTEM или root).

Как исправить

Основным способом устранения является обновление программного обеспечения до версий, в которых уязвимость была закрыта разработчиком.

  1. Определите текущую версию установленного продукта в консоли администрирования (Help -> About).
  2. Скачайте соответствующий патч или инсталлятор новой версии из официального портала поддержки Cleo.
  3. Выполните обновление до следующих версий (или более новых):
  4. Cleo Harmony: 5.8.0.21
  5. Cleo VLTrader: 5.8.0.21
  6. Cleo LexiCom: 5.8.0.21

Для применения обновления в ОС Windows:

Stop-Service -Name "Cleo Harmony"

(Выполните установку патча согласно инструкции вендора)

Start-Service -Name "Cleo Harmony"

Для систем на базе Linux:

./cleo-upgrade-installer.sh

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью компенсирующих мер контроля:

  1. Ограничьте доступ к порталу администрирования и API, разрешив подключения только с доверенных IP-адресов (белый список).
  2. Настройте правила WAF (Web Application Firewall) для блокировки запросов, содержащих признаки Path Traversal в параметрах URL и теле запроса:
..\ , ../ , %2e%2e%2f , %2e%2e%5c
  1. Переведите службу Cleo на работу под учетной записью с минимальными привилегиями (Managed Service Account), запретив ей запись в системные папки и папки автозагрузки.
  2. Включите расширенный аудит файловой системы для мониторинга создания новых файлов в директориях веб-сервера Cleo:
Auditpol /set /subcategory:"File System" /success:enable /failure:enable
  1. Изолируйте сервер в отдельном сегменте сети (VLAN), ограничив исходящие соединения, чтобы предотвратить загрузку полезной нагрузки со сторонних ресурсов и установку Reverse Shell.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей