CVE-2024-55956

Cleo Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-17

Официальное описание

Cleo Harmony, VLTrader, and LexiCom, which are managed file transfer products, contain an unrestricted file upload vulnerability that could allow an unauthenticated user to import and execute arbitrary bash or PowerShell commands on the host system by leveraging the default settings of the Autorun directory.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-55956 представляет собой критическую уязвимость типа Unrestricted File Upload в решениях для управляемой передачи файлов (MFT) от компании Cleo (Harmony, VLTrader и LexiCom).

Проблема заключается в небезопасной конфигурации директории Autorun по умолчанию. Неавторизованный злоумышленник может удаленно загрузить произвольный файл в эту директорию. Поскольку система автоматически исполняет содержимое файлов в этой папке, это приводит к удаленному выполнению произвольного кода (RCE) с правами системной учетной записи, под которой запущен сервис Cleo (Bash в Linux или PowerShell в Windows).

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения до версий, в которых изменены механизмы обработки директории Autorun и ужесточены проверки прав доступа.

  1. Определите текущую версию установленного продукта Cleo.
  2. Скачайте соответствующий патч или обновленный дистрибутив из официального портала поддержки Cleo.
  3. Установите обновление для вашей ОС:

Для систем на базе Linux:

./cleo-install-update.sh

Для систем на базе Windows:

Start-Process -FilePath "Cleo_Update_Installer.exe" -ArgumentList "/S" -Wait
  1. После обновления убедитесь, что версия ПО соответствует исправленной (версии 5.8.0.21 и выше для соответствующих веток).

Временные меры

Если немедленное обновление невозможно, необходимо ограничить возможности эксплуатации уязвимости на уровне системы и конфигурации:

  1. Ограничение прав на директорию Autorun: Удалите права на запись в директорию autorun для всех пользователей, кроме администратора системы.

В Linux:

chmod 750 /opt/Cleo/Harmony/autorun

В Windows:

icacls "C:\Program Files\Cleo\Harmony\autorun" /inheritance:r /grant:r "Administrators:(OI)(CI)F" /grant:r "SYSTEM:(OI)(CI)F"
  1. Очистка директории: Проверьте наличие подозрительных скриптов в папке autorun и удалите их.
rm -rf /opt/Cleo/Harmony/autorun/*

  1. Сетевое ограничение: Настройте межсетевой экран (Firewall), чтобы разрешить доступ к веб-интерфейсу управления Cleo только с доверенных IP-адресов администраторов.

  2. Мониторинг: Настройте аудит создания файлов в директории autorun с помощью средств мониторинга (например, Auditd в Linux или Sysmon в Windows).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей