# CVE-2024-50623 - Cleo Harmony/VLTrader/LexiCom Upload Irrestrito (RCE) > [!danger] Zero-Day do Cl0p - CISA KEV - Patch Incompleto > Vulnerabilidade crítica de upload irrestrito nos produtos Cleo MFT permite RCE não autenticado. CVSS 9.8, EPSS 94%. Explorada como zero-day pelo Cl0p em campanha massiva. Patch inicial (5.8.0.21) era incompleto - atualizar para 5.8.0.24. ## Visão Geral CVE-2024-50623 é uma vulnerabilidade crítica de **upload de arquivo não restrito** (*Unrestricted File Upload*, CWE-434) nos produtos de transferência gerenciada de arquivos (MFT) da Cleo: Harmony, VLTrader e LexiCom. A falha permite que um atacante remoto não autenticado faça upload e download irrestrito de arquivos, levando à execução remota de código (RCE). A Cleo lançou um patch inicial (versão 5.8.0.21) em outubro de 2024, mas pesquisadores da Huntress descobriram que esse patch era incompleto - sistemas "totalmente corrigidos" permaneciam vulneráveis. A exploração massiva foi confirmada em 3 de dezembro de 2024, sendo o ataque atribuído ao grupo [[cl0p|Cl0P]], responsável por campanhas similares contra o [[accellion-fta-exploitation|Accellion FTA]], GoAnywhere MFT e [[cve-2023-34362|MOVEit Transfer]]. ## Detalhes Técnicos - **Tipo:** Unrestricted File Upload / RCE - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** Cleo Harmony, VLTrader e LexiCom versões 5.8.0.21 e anteriores - **Versão corrigida:** 5.8.0.24 (liberada em 11/12/2024) - **CWE:** CWE-434 (Unrestricted Upload of File with Dangerous Type) ### Funcionamento Técnico A vulnerabilidade reside no manuseio inadequado de uploads de arquivos, especialmente no diretório `autorun`. Arquivos colocados neste subdiretório dentro da pasta de instalação são imediatamente lidos, interpretados e avaliados pelo software vulnerável. Os atacantes exploram essa característica para fazer upload de um arquivo XML configurado para executar um comando PowerShell embutido, que recupera um arquivo JAR (*Java Archive*) malicioso de um servidor remoto. O JAR implanta um backdoor Java modular chamado **Malichus** e/ou **Cleopatra**, com capacidades de execução de comandos, transferência de dados e movimentação lateral. ## Exploração A exploração foi identificada pela Huntress a partir de 3 de dezembro de 2024, com um pico de atividade observado em 8 de dezembro. O grupo [[cl0p|Cl0P]] confirmou públicamente ao BleepingComputer que estava por trás dos ataques, com declarações no seu site de vazamento de dados. Ao menos 50 hosts Cleo e 10 organizações foram comprometidos, incluindo empresas Fortune 500. Entre as vítimas iniciais estava a Blue Yonder, empresa de gestão de cadeia de suprimentos. A CISA adicionou a CVE ao catálogo KEV em 13 de dezembro de 2024, com prazo de remediação federal até 3 de janeiro de 2025. O [[cl0p|Cl0P]] demonstrou provável conhecimento prévio das vulnerabilidades, tendo comprometido organizações antes de qualquer divulgação pública. Relatórios independentes da Arctic Wolf, Binary Defense, Huntress e Rapid7 documentaram o malware pós-exploração. Nota: uma segunda CVE relacionada - CVE-2024-55956 (CVSS 9.8) - foi identificada como vulnerabilidade separada com exploração própria e adicionada ao KEV em 17 de dezembro de 2024. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Cl0p identifica instâncias<br/>Cleo MFT expostas"] --> B["💥 Upload Malicioso<br/>Arquivo no diretório<br/>autorun (CWE-434)"] B --> C["🔑 Autorun Executa<br/>XML malicioso processado<br/>como script de importação"] C --> D["🔑 PowerShell + JAR<br/>Download e execução de<br/>payload Java remoto"] D --> E["🛡️ Backdoor Malichus<br/>Webshell Java modular<br/>com capacidade de C2"] E --> F["📤 Exfiltração Massiva<br/>Roubo de arquivos<br/>transferidos via MFT"] F --> G["🔗 Extorsão Dupla<br/>Publicação em leak site<br/>do Cl0p + resgate"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > Produtos Cleo MFT são utilizados por multinacionais com operações na América Latina, especialmente nos setores de logística, cadeia de suprimentos e financeiro. A campanha do Cl0p teve alcance global, afetando empresas Fortune 500 e potencialmente parceiros comerciais brasileiros. A exploração massiva de plataformas MFT pelo [[cl0p|Cl0p]] representa um risco significativo para a cadeia de suprimentos digital na região. Empresas brasileiras que utilizam Cleo para troca de arquivos com parceiros internacionais - particularmente nos setores de [[financial|serviços financeiros]], [[retail|varejo]] e [[logistics|logística]] - podem ter sido afetadas direta ou indiretamente. A Blue Yonder, uma das primeiras vítimas confirmadas, é uma empresa de gestão de cadeia de suprimentos com clientes globais. O aspecto mais preocupante desta CVE é que o patch inicial (versão 5.8.0.21) era **incompleto** - sistemas considerados corrigidos permaneciam vulneráveis. Isso ressalta a importância de válidar patches após aplicação e manter monitoramento contínuo, especialmente para organizações sujeitas à LGPD que podem enfrentar consequências regulatórias em caso de vazamento de dados pessoais. ## Mitigação 1. Atualizar imediatamente para Cleo Harmony, VLTrader e LexiCom versão 5.8.0.24 ou superior 2. Remover exposição dos servidores Cleo à internet pública enquanto o patch não for aplicado 3. Desabilitar ou monitorar o diretório `autorun` no software Cleo 4. Verificar presença do malware Malichus/Cleopatra nos sistemas afetados 5. Revisar logs em busca de uploads de arquivos XML/JAR incomuns e execuções PowerShell ## Referências - [The Hacker News - Exploração ativa CVE-2024-50623](https://thehackernews.com/2024/12/cleo-file-transfer-vulnerability-under.html) - [CISA KEV - Adição em 13/12/2024](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Censys - Exposição de instâncias Cleo](https://censys.com/advisory/CVE-2024-50623/) - [SOCRadar - Cl0P e as vulnerabilidades Cleo](https://socradar.io/cleo-file-transfer-vulnerabilities-cl0ps-attack-vector/) - [Greenbone - Timeline completo CVE-2024-50623](https://www.greenbone.net/en/blog/patch-now-cleo-products-actively-exploited-in-ransomware-attacks/) ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-55956|CVE-2024-55956]] · [[cve-2023-34362|CVE-2023-34362]] · [[cve-2023-0669|CVE-2023-0669]] · [[cve-2021-27101|CVE-2021-27101]] **Atores explorando:** [[cl0p|Cl0p]] · [[g0046-fin7|FIN7]] **Campanha:** [[cleo-file-transfer-exploitation|Cleo File Transfer Exploitation]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1059-001-powershell|T1059.001]] · [[t1005-data-from-local-system|T1005]] · [[t1041-exfiltration-over-c2-channel|T1041]] **Setores em risco:** [[financial|financeiro]] · [[logistics|logística]] · [[retail|varejo]] · [[technology|tecnologia]] **Mitigações:** [[M1051|M1051 - Update Software]] · [[M1050|M1050 - Exploit Protection]] CVE-2024-50623 representa mais uma entrada na longa série de ataques do [[cl0p|Cl0p]] contra plataformas MFT. O padrão é consistente com as campanhas [[accellion-fta-exploitation|Accellion FTA]] (2020-2021), GoAnywhere MFT ([[cve-2023-0669|CVE-2023-0669]], 2023) e [[cve-2023-34362|MOVEit Transfer]] (2023). A campanha completa está documentada em [[cleo-file-transfer-exploitation|Cleo File Transfer Exploitation]]. A CVE relacionada [[cve-2024-55956|CVE-2024-55956]] é uma vulnerabilidade distinta no mesmo produto, com exploração própria.