# CVE-2024-55956 - Cleo Harmony/VLTrader/LexiCom RCE via Upload Irrestrito > [!danger] Exploração Ativa pelo Cl0p - CISA KEV > Vulnerabilidade crítica de upload irrestrito nos produtos Cleo MFT permite RCE não autenticado. CVSS 9.8, EPSS 89%. Explorada como zero-day pelo grupo Cl0p em campanha massiva contra dezenas de organizações. Patch disponível (v5.8.0.24). ## Visão Geral **CVE-2024-55956** é uma vulnerabilidade crítica de **upload irrestrito de arquivos** (CWE-434) nos produtos de transferência gerenciada de arquivos (MFT) da [[Cleo]] - Harmony, VLTrader e LexiCom. A falha permite que atacantes não autenticados façam upload de arquivos maliciosos que são automaticamente executados pelo mecanismo de autorun do software, resultando em execução remota de código (RCE) no servidor. A vulnerabilidade reside na funcionalidade de autorun do diretório `autorun` dos produtos Cleo, onde arquivos enviados são processados como scripts de importação sem válidação adequada de conteúdo ou origem. Atacantes exploram essa característica para fazer upload de arquivos XML configurados para executar comandos PowerShell, que recuperam payloads maliciosos de servidores remotos. O [[cl0p|Cl0p]] assumiu responsabilidade pela exploração desta CVE em dezembro de 2024, continuando seu padrão estabelecido de comprometimento massivo de plataformas MFT - anteriormente com [[cve-2021-27101|CVE-2021-27101]] (Accellion FTA), [[cve-2023-0669|CVE-2023-0669]] (GoAnywhere MFT) e [[cve-2023-34362|CVE-2023-34362]] (MOVEit Transfer). A Huntress detectou a exploração ativa em 9 de dezembro de 2024, com o Cl0p reivindicando ter comprometido dezenas de organizações globalmente. O grupo implantou webshells Java customizadas denominadas **Malichus** e **Cleopatra**, realizando exfiltração de dados antes de qualquer patch estar disponível. Esta CVE está diretamente relacionada à [[cve-2024-50623|CVE-2024-50623]], outra vulnerabilidade no mesmo produto cujo patch inicial foi considerado incompleto pela Huntress. Ambas foram adicionadas ao CISA KEV em dezembro de 2024. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por instâncias Cleo<br/>expostas na internet"] --> B["💥 Upload Malicioso<br/>Arquivo XML no diretório<br/>autorun do Cleo MFT"] B --> C["🔑 Execução Automática<br/>Autorun processa XML<br/>como script de importação"] C --> D["🔑 PowerShell Payload<br/>Download de arquivo JAR<br/>malicioso de servidor C2"] D --> E["🛡️ Webshell Java<br/>Implantação de backdoor<br/>Malichus/Cleopatra"] E --> F["📤 Exfiltração<br/>Roubo de arquivos<br/>transferidos via MFT"] F --> G["🔗 Extorsão<br/>Publicação em site<br/>de vazamento do Cl0p"] ``` ## Detalhes Técnicos - **Tipo:** Unrestricted File Upload / RCE - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** Cleo Harmony, VLTrader e LexiCom < 5.8.0.24 - **Versão corrigida:** 5.8.0.24 (liberada em 12/12/2024) - **CWE:** CWE-434 (Unrestricted Upload of File with Dangerous Type) ### TTPs Observadas | ID | Técnica | Fase | |----|---------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | Initial Access | | [[t1505-003-web-shell\|T1505.003]] | Server Software Component: Web Shell | Persistence | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Execution | | [[t1005-data-from-local-system\|T1005]] | Data from Local System | Collection | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel | Exfiltration | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > Embora a Cleo tenha presença menor no Brasil comparada a outros vendors de MFT, seus produtos são utilizados por multinacionais com operações na América Latina, especialmente nos setores de logística, cadeia de suprimentos e financeiro. A campanha do Cl0p afetou organizações globais com presença na região. Plataformas de transferência gerenciada de arquivos (MFT) são componentes críticos na cadeia de suprimentos digital, processando dados sensíveis entre parceiros comerciais. No contexto brasileiro, empresas dos setores de [[financial|serviços financeiros]], [[retail|varejo]] e [[logistics|logística]] que utilizam Cleo para troca de arquivos com parceiros internacionais podem ter sido impactadas indiretamente pela campanha do [[cl0p|Cl0p]]. O padrão operacional do Cl0p de comprometer plataformas MFT e extorquir vítimas é particularmente preocupante para organizações brasileiras sujeitas à LGPD, pois a exfiltração de dados pessoais pode resultar em penalidades regulatórias além do impacto operacional direto. Equipes de segurança devem verificar se há instâncias Cleo em seu ambiente e garantir que estejam atualizadas para a versão 5.8.0.24 ou superior. ## Mitigação 1. Atualizar imediatamente para Cleo Harmony, VLTrader e LexiCom versão **5.8.0.24** ou superior 2. Desabilitar a funcionalidade de autorun nos produtos Cleo (`Autorun Directory` - deixar em branco nas configurações) 3. Remover exposição dos servidores Cleo à internet pública enquanto o patch não for aplicado 4. Verificar presença de arquivos suspeitos no diretório autorun e webshells Java (Malichus/Cleopatra) 5. Revisar logs de transferência recentes por atividade anômala e uploads de arquivos XML/JAR incomuns ## Referências - [NVD - CVE-2024-55956](https://nvd.nist.gov/vuln/detail/CVE-2024-55956) - [Huntress Blog - Cleo Zero-Day](https://www.huntress.com/blog/threat-advisory-oh-no-cleo-cleo-cleo) - [Cleo Security Advisory](https://support.cleo.com/hc/en-us/articles/27140294267543) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [BleepingComputer - Cl0p confirma autoria](https://www.bleepingcomputer.com) ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-50623|CVE-2024-50623]] · [[cve-2023-34362|CVE-2023-34362]] · [[cve-2023-0669|CVE-2023-0669]] · [[cve-2021-27101|CVE-2021-27101]] **Atores explorando:** [[cl0p|Cl0p]] **Campanha:** [[cleo-file-transfer-exploitation]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1059-001-powershell|T1059.001]] · [[t1005-data-from-local-system|T1005]] **Setores em risco:** [[financial|financeiro]] · [[logistics|logística]] · [[retail|varejo]] · [[technology|tecnologia]] **Mitigações:** [[M1051|M1051 - Update Software]] · [[M1050|M1050 - Exploit Protection]]