Ce qui devait arriver, arriva… Le groupe de ransomware Clop a listé pas moins de 66 victimes sur son site disponible sur le Dark Web, grâce à l’exploitation d’une faille de sécurité critique présente dans les solutions de chez Cleo. Faisons le point sur la situation.

La CVE-2024-50623 : une réelle menace !

Commençons par quelques rappels sur la faille de sécurité CVE-2024-50623 découverte dans plusieurs solutions de chez Cleo (utilisées pour faciliter le stockage et le partage de fichiers). Il s’agit d’une faille de sécurité permettant à un attaquant distant non authentifié d’exécuter du code à distance sur les serveurs vulnérables et accessibles depuis Internet.

Cette faille de sécurité affecte les produits suivants :

• Cleo Harmony avant la version 5.8.0.24
• Cleo VLTrader avant la version 5.8.0.24
• Cleo LexiCom avant la version 5.8.0.24

Le correctif de sécurité correspondant à la version 5.8.0.24 doit être installé pour se protéger de cette vulnérabilité. De son côté, l’éditeur Cleo avait déjà publié un correctif pour cette faille de sécurité le 24 octobre dernier, mais il s’avère qu’il était inefficace. Il est possible de contourner ce correctif afin de continuer d’exploiter cette faille de sécurité : d’où l’importance d’installer cette version.

• Une faille de sécurité critique dans les produits Cleo : CVE-2024-50623

L’exploitation de cette vulnérabilité permet de voler des données sur le serveur, et les cybercriminels l’ont bien compris. En particulier le gang de ransomware Clop…

66 victimes menacées par Clop

D’après les journalistes du site BleepingComputer, qui ont été faire un tour sur le site du gang Clop accessible via le Dark Web, les pirates ont référencé 66 victimes sur leur portail. Il s’agit de 66 entreprises dont le nom a été partiellement révélé : elles sont désormais sous pression.

Les victimes disposent de 48 heures pour entrer en contact avec les pirates, dans le but de négocier : chaque victime dispose d’une adresse e-mail à contacter pour échanger avec le gang Clop. Si l’avertissement est ignoré, le nom de la victime sera révélé.

Dans le même temps, les cybercriminels affirment qu’ils détiennent les données correspondantes aux entreprises présentes dans cette liste. Il s’agit de données volées sur le serveur Cleo de l’entreprise, suite à l’exploitation de la CVE-2024-50623.

Cette liste, bien que déjà relativement longue, pourrait être incomplète : elle liste les entreprises qui ne sont pas encore entrées en contact avec les pirates. Ce qui signifie que certaines victimes, qui ont déjà fait cet effort, sont absentes de cette liste.

Patchez votre serveur Cleo si ce n’est pas déjà fait… Cette campagne d’attaques met encore en lumière l’efficacité du gang de ransomware Clop… Comme se fut déjà le cas avec les attaques ciblant les serveurs MOVEit Transfer et GoAnywhere MFT.

Source