Lezioni dall'exploit Cleo: Le prove dimostrano perché Secure MFT Secure è fondamentale 

Nel dicembre 2024, i ricercatori di cybersicurezza hanno scoperto un'allarmante vulnerabilità zero-day di esecuzione di codice remoto (RCE) nei prodotti Cleo per il trasferimento gestito di file, come riportato per la prima volta da CSO Online.

Gli aggressori hanno sfruttato attivamente questa falla, aggirando anche le patch rilasciate di recente. Nonostante gli aggiornamenti di sicurezza iniziali di Cleo, gli attori delle minacce sono stati in grado di continuare a compromettere i sistemi aggiornati, rivelando debolezze radicate nella gestione dei file di base, nella convalida degli input e nella resilienza della piattaforma.

Quest'ultimo incidente fa parte di una tendenza preoccupante: le soluzioni di trasferimento di file gestiti sono diventate bersagli privilegiati di sofisticati attacchi informatici. Queste piattaforme, responsabili del trasferimento sicuro di dati altamente sensibili attraverso canali affidabili, rappresentano un punto di ingresso interessante per gli aggressori.

Una violazione all'interno di un ambiente MFT (managed file transfer) può innescare esiti catastrofici, dalla fuga di dati sistemica, alle violazioni normative, all'interruzione operativa in settori infrastrutturali critici, il tutto con gravi danni alla reputazione.

LMFT Secure non è più un optional negli ambienti delle infrastrutture critiche. Le organizzazioni devono andare oltre le patch reattive e le singole soluzioni antivirus. Devono invece adottare architetture di sicurezza avanzate, proattive e a più livelli, progettate specificamente per difendere le operazioni MFT dai moderni scenari di minacce.

Oggi non si tratta più di best practice, ma di necessità operative:

Alla fine del 2024, i ricercatori di sicurezza hanno identificato lo sfruttamento attivo di una vulnerabilità critica zero-day per l'esecuzione di codice remoto nei prodotti Cleo per il trasferimento gestito di file. Le soluzioni interessate comprendono Cleo LexiCom, Cleo VLTrader e Cleo Harmony, ampiamente utilizzate in ambienti aziendali.

Cleo LexiCom è un client MFT basato su desktop per la connessione alle principali reti di trading. Cleo VLTrader offre funzionalità MFT a livello di server per le medie imprese, mentre Cleo Harmony mira a soddisfare le esigenze di integrazione e trasferimento sicuro dei file delle grandi imprese.

Anche dopo il rilascio di una patch di sicurezza iniziale nell'ottobre 2024, gli aggressori hanno continuato a colpire con successo i sistemi Cleo, sfruttando le debolezze non completamente risolte, come riportato da Darktrace nel dicembre 2024.

I team di sicurezza hanno invitato le organizzazioni a scollegare immediatamente i server interessati da Internet e ad attuare misure di mitigazione temporanee in attesa di una soluzione più completa.

1. Sfruttamento di una vulnerabilità di upload di file per ottenere scritture di file non autorizzate
2. Lancio di file dannosi nella cartella "Autorun", con conseguente esecuzione automatica.
3. Sfruttare la funzione di esecuzione automatica per distribuire una catena di payload che comprende archivi ZIP, file di configurazione XML e comandi PowerShell dannosi.

Le indagini di follow-up hanno rivelato segni di tattiche avanzate dell'attaccante, come la ricognizione di Active Directory, l'eliminazione furtiva di file e l'implementazione di una backdoor Java personalizzata nota come Cleopatra.

La violazione di Cleo non è un caso isolato. Negli ultimi anni, i sistemi di trasferimento di file gestiti sono diventati i primi obiettivi di sofisticati attori delle minacce. I file sensibili scambiati attraverso queste piattaforme sono spesso profondamente legati alle operazioni aziendali, ai dati dei clienti o alle informazioni regolamentate, rendendo la ricompensa per una compromissione riuscita estremamente elevata. 

I precedenti casi di alto profilo, come le violazioni di MOVEit Transfer, Accellion File Transfer Appliance e Fortra GoAnywhere, mostrano uno schema coerente: gli attori delle minacce si concentrano sulle tecnologie di trasferimento dei file come punto di ingresso strategico nelle reti aziendali.  

L'incidente di Cleo dimostra che anche le organizzazioni con sistemi aggiornati e patchati sono a rischio se le soluzioni MFT non sono progettate con principi di sicurezza integrati a più livelli.

L'exploit Cleo evidenzia la necessità di soluzioni MFT che non si affidino semplicemente alle patch, ma che siano costruite da zero con controlli di sicurezza a più livelli. MetaDefender Managed File Transfer MFT) è stato progettato per ambienti incentrati sulla sicurezza, dove il controllo dei trasferimenti basato su policy, la prevenzione delle minacce a più livelli, la governance centralizzata e il rigoroso isolamento delle zone sono essenziali.

Proteggere i primi punti di contatto è fondamentale. MetaDefender MFT rafforza i controlli di accesso per bloccare gli ingressi non autorizzati prima che gli aggressori possano caricare file dannosi o prendere piede nella rete.

• Controllo accessoSecure : Limita l'accesso di MetaDefender MFT alle reti interne fidate o protette da VPN. In questo modo si evita l'esposizione diretta ad aggressori esterni che tentano di caricare payload dannosi.
• Autenticazione a più fattori (MFA): Impone un ulteriore livello di verifica dell'utente. Anche se le credenziali vengono rubate, gli aggressori non possono ottenere facilmente un accesso non autorizzato.
• Controlli di accesso basati sui ruoli con approvazioni dei supervisori: Applica autorizzazioni granulari agli utenti e ai flussi di lavoro. Anche gli utenti autenticati devono ricevere l'approvazione del supervisore per le azioni critiche di upload e download.

Bloccare i file dannosi al gateway impedisce agli attacchi di avanzare all'interno del sistema. MetaDefender MFT analizza a fondo i dati in entrata prima che qualsiasi contenuto dannoso possa essere attivato. 

• Pipeline di ispezione profonda dei file: Identifica e blocca i file camuffati con estensioni false. Gli archivi ZIP o i file XML dannosi vengono rilevati al momento del caricamento.  
• Rilevamento del Paese di origine: Esamina i file in arrivo in base alla geolocalizzazione. I file provenienti da regioni ad alto rischio possono essere bloccati automaticamente. 
• Estrazione dell'archivio e scansione del contenuto: Scompone completamente i file compressi prima del trasferimento. In questo modo si espongono le minacce informatiche nascoste all'interno degli archivi annidati, come gli exploit di PowerShell. Per saperne di più sui file archiviati e sulla minaccia che rappresentano , cliccate qui. 

Per difendersi dalle minacce avanzate e sconosciute è necessario andare oltre la scansione statica. MetaDefender MFT applica una scansione multi-motore e neutralizza i rischi a livello di contenuto. 

• Metascan™ Multiscanning con oltre 30 motori: Esegue la scansione simultanea di ogni file con più motori antivirus e di rilevamento delle minacce. Il malware e i file di tipo webshell vengono bloccati prima dell'esecuzione. Per saperne di più sul Multiscanning , cliccate qui. 
• Deep CDR™ (Content Disarm & Reconstruction): Ricostruisce i file rimuovendo gli elementi attivi o eseguibili. Vengono fornite versioni pulite e sicure dei file, mentre le minacce nascoste vengono neutralizzate. Scoprite come Deep CDR rigenera i file qui. 
• File-Based Vulnerability Assessment: Analizza i file alla ricerca di vulnerabilità note che potrebbero essere sfruttate in seguito. Questo permette di individuare i tipi di documenti armati prima del runtime.