يحذر الباحثون الأمنيون من أن المتسللين يستغلون بشكل نشط ثغرة أمنية أخرى عالية الخطورة في تقنية نقل الملفات الشائعة لبدء عمليات اختراق جماعية.
تؤثر الثغرة الأمنية، التي تحمل الاسم CVE-2025-50623، على البرامج التي طورتها شركة Cleo لبرمجيات المؤسسات ومقرها إلينوي، وفقًا للباحثين في شركة Huntress للأمن السيبراني.
تم الكشف عن الخلل لأول مرة بواسطة Cleo في ملف استشارة أمنية في 30 أكتوبر، والذي حذر من أن الاستغلال قد يؤدي إلى تنفيذ التعليمات البرمجية عن بعد. إنه يؤثر على أدوات LexiCom وVLTransfer وHarmony من Cleo، والتي تستخدمها المؤسسات بشكل شائع لإدارة عمليات نقل الملفات.
أصدرت شركة Cleo تصحيحًا للثغرة الأمنية في أكتوبر، ولكن في مدونة يوم الاثنين حذرت Huntress من أن التصحيح لا يخفف من خلل البرنامج.
وقال جون هاموند، الباحث الأمني في Huntress، إن الشركة لاحظت وجود جهات فاعلة في مجال التهديد “تستغل هذا البرنامج بشكل جماعي” منذ 3 ديسمبر. وأضاف أن Huntress – التي تحمي أكثر من 1700 خادم Cleo LexiCom وVLTransfer وHarmony – اكتشفت ما لا يقل عن 10 شركات خوادمها تم اختراقها.
وكتب هاموند: “تشمل المنظمات المتضررة حتى الآن العديد من شركات المنتجات الاستهلاكية، ومنظمات الخدمات اللوجستية والشحن، وموردي المواد الغذائية”، مضيفًا أن العديد من العملاء الآخرين معرضون لخطر الاختراق.
Shodan، محرك بحث للأجهزة وقواعد البيانات المتاحة للعامة، القوائم مئات من خوادم Cleo الضعيفة، والتي يقع معظمها في الولايات المتحدة
كليو لديه أكثر من 4200 عميل، بما في ذلك شركة التكنولوجيا الحيوية الأمريكية Illumina، وعملاق الأحذية الرياضية New Balance، وشركة الخدمات اللوجستية الهولندية Portable.
لم تحدد Huntress بعد الجهة التهديدية التي تقف وراء هذه الهجمات، وليس من المعروف ما إذا كانت أي بيانات قد تمت سرقتها من عملاء Cleo المتأثرين. ومع ذلك، أشار هاموند إلى أن الشركة لاحظت أن المتسللين يقومون “بنشاط ما بعد الاستغلال” بعد اختراق الأنظمة الضعيفة.
لم تستجب Cleo لأسئلة TechCrunch ولم تصدر بعد تصحيحًا يحمي من الخلل. توصي Huntress عملاء Cleo بنقل أي أنظمة معرضة للإنترنت خلف جدار الحماية حتى يتم إصدار تصحيح جديد.
تعد أدوات نقل الملفات الخاصة بالمؤسسات هدفًا شائعًا بين المتسللين ومجموعات الابتزاز. في العام الماضي، حصدت عصابة Clop لطلب الفدية المرتبطة بروسيا آلاف الضحايا استغلال ثغرة يوم الصفر في منتج MOVEit Transfer التابع لشركة Progress Software. وكانت نفس العصابة قد حصلت في السابق على الفضل في الاستغلال الجماعي لثغرة أمنية في برنامج نقل الملفات المُدار GoAnywhere التابع لشركة Fortra، والذي تم استخدامه لاستهداف أكثر من 130 منظمة.
