Cleo Harmony Datalek: Zero-day kwetsbaarheden leggen kritieke toeleveringsketengegevens bloot

In een aanzienlijke escalatie van cyberdreigingen gericht op supply chain-operaties hebben Huntress-beveiligingsonderzoekers een geavanceerde Advanced Persistent Threat (APT) aanval ontdekt die kwetsbaarheden in Cleo Harmony’s beheerde bestandsoverdracht (MFT) software heeft uitgebuit. Op 3 december 2024 werd de aanval ontdekt en zijn claims van datadiefstal voor 10 klanten al gepubliceerd door de Termite-ransomwaregroep, waarbij gevoelige gegevens zijn blootgesteld en kritieke bedrijfsprocessen in diverse sectoren zijn verstoord. Er wordt aangenomen dat meer dan 400 klanten kwetsbaar zijn. Andere cybercriminele groepen sluiten zich aan bij Termite in hun aanvallen op de supply chain-kwetsbaarheid van Cleo Harmony, waarbij de Clop-ransomwarebende bevestigt dat zij actief misbruik maakt van Cleo MFT-kwetsbaarheden.

Dit incident benadrukt het hoge risico van bestandsoverdrachtbeveiliging in moderne supply chains. Nu bedrijven steeds meer vertrouwen op onderling verbonden systemen om gevoelige gegevens te beheren, zijn de gevolgen van het niet beveiligen van deze systemen catastrofaal. Aanvallers maakten gebruik van twee zero-day-kwetsbaarheden om deze campagne uit te voeren, waarbij fundamentele beveiligingsmaatregelen werden omzeild en de zwaktes van verouderde MFT-oplossingen werden blootgelegd.

De Cleo Harmony-datalek laat zien hoe supply chain-operaties, een basis van de wereldhandel, een belangrijk doelwit zijn geworden voor cybercriminelen. Diefstal van gegevens en verstoring van bedrijfsprocessen hebben verstrekkende gevolgen, niet alleen voor individuele bedrijven, maar voor hele sectoren.

Kiteworks, een toonaangevende aanbieder van beveiligde bestandsoverdrachtoplossingen, benadrukt het belang van een geharde beveiligingsarchitectuur om zich te verdedigen tegen steeds evoluerende cyberdreigingen. Deze blog bespreekt de lessen uit het Cleo Harmony-datalek en biedt praktische inzichten in hoe organisaties hun gevoelige gegevens kunnen beschermen en hun processen toekomstbestendig kunnen maken tegen soortgelijke aanvallen.

Anatomie van de Zero-Day Cleo Harmony-aanval

Het Cleo Harmony-datalek werd mogelijk gemaakt door twee kritieke zero-day-kwetsbaarheden die aanvallers gebruikten om beheerde bestandsoverdracht (MFT)-systemen binnen te dringen. Samen legden deze kwetsbaarheden fundamentele zwaktes bloot in de architectuur van Cleo Harmony, waardoor een reeks van escalaties mogelijk werd die gevoelige gegevens compromitteerden en processen verstoorden.

De eerste kwetsbaarheid stond ongeauthenticeerde bestandsuploads toe. Deze kritieke kwetsbaarheid stelde aanvallers in staat om bestanden te uploaden zonder inloggegevens te verstrekken, waarmee het meest basale beveiligingsniveau werd omzeild. Eenmaal binnen maakten de aanvallers misbruik van de tweede kwetsbaarheid: toegang tot een “autorun”-map. Deze map is normaal gereserveerd voor het uitvoeren van legitieme installatiescripts, maar voerde automatisch elk bestand uit dat erin werd geplaatst, inclusief kwaadaardige bestanden.

Het verloop van de aanval bestond uit een zorgvuldig gecoördineerde inzet van PowerShell-scripts, die werden uitgevoerd zodra ze de autorun-map bereikten. Deze scripts maakten verbinding met command-and-control-servers en downloadden extra payloads, waaronder een kwaadaardig Java-programma genaamd Malichus. Malichus stelde aanvallers in staat om gevoelige gegevens te exfiltreren, hardnekkige toegang tot de gecompromitteerde systemen te behouden en op afstand opdrachten uit te voeren voor verdere uitbuiting.

Het datalek voltrok zich volgens een gestructureerde tijdlijn, beginnend met initiële toegang via ongeauthenticeerde uploads en eindigend met hardnekkige malware-inzet en datadiefstal. Aanvallers gebruikten deze opbouw om controle te behouden over getroffen servers en detectie te ontwijken.

De kern van dit datalek was het opvallende gebrek in het authenticatiemechanisme. Authenticatie speelt een cruciale rol bij beveiligde bestandsoverdracht door gebruikersidentiteiten te verifiëren en toegang tot gevoelige systemen te beperken. Zonder de juiste authenticatieprotocollen stellen organisaties hun systemen bloot aan ongeautoriseerde acties, zoals deze aanval aantoont. Het Cleo Harmony-datalek benadrukt het belang van het implementeren van multi-factor authenticatie, inhoudsvalidatie en beperkte toegang tot mappen. Deze maatregelen zijn essentieel om ervoor te zorgen dat alleen geautoriseerde gebruikers met gevoelige systemen werken en het risico op uitbuiting wordt beperkt.

Het tweede kernprobleem was gebrekkige hardening: de hardening-principes van het uitschakelen van ongebruikte services en het verwijderen van ongebruikte code werden niet toegepast op de autorun-map. Dit datalek illustreert duidelijk waarom dit principe belangrijk is, omdat het voor een aanvaller triviaal was om op afstand code uit te voeren zodra de eerste verdedigingslinie was doorbroken. Cleo heeft klanten inmiddels geadviseerd om autorun uit te schakelen.

Omvang van het Cleo Harmony-datalek

Het Cleo Harmony-datalek had een brede impact en trof meerdere producten en versies binnen het Cleo Harmony-ecosysteem. Kwetsbaarheden werden vastgesteld in Cleo Harmony, VLTrader en LexiCom, waarbij aanvallen gericht waren op versies tot en met 5.8.0.23. Deze verouderde versies misten kritieke beveiligingsupdates, waardoor ze kwetsbaar waren voor uitbuiting door de Termite-ransomwaregroep.

Geografisch gezien had het datalek een wereldwijde reikwijdte, maar de impact was vooral ernstig in Noord-Amerika. Van de 421 kwetsbare servers wereldwijd bevonden zich er 327 in de Verenigde Staten, wat bijna 78% van alle getroffen systemen vertegenwoordigt. Deze concentratie benadrukt de cruciale rol van Noord-Amerikaanse infrastructuur in wereldwijde supply chains en de verhoogde risico’s bij compromittering ervan.

Belangrijke sectoren kregen de zwaarste klappen. Dit betrof consumentengoederen, voedselproductie, logistiek en transport—sectoren die sterk afhankelijk zijn van beheerde bestandsoverdrachtsystemen voor het verwerken van gevoelige gegevens zoals voorraadschema’s, supply chain-gegevens en financiële transacties.

De implicaties voor de beveiliging van beheerde bestandsoverdracht zijn aanzienlijk. Dit datalek onthulde de inherente kwetsbaarheden van verouderde MFT-systemen die functionaliteit boven beveiliging stellen. Nu cybercriminelen steeds vaker kritieke infrastructuur aanvallen, moeten organisaties zich richten op platforms die vanuit een security-first benadering zijn ontworpen.

Het Cleo Harmony-datalek is een wake-up call en onderstreept de noodzaak om bestandsoverdrachtoplossingen te moderniseren. Organisaties moeten prioriteit geven aan platforms met robuuste authenticatie, encryptie en realtime monitoring om gevoelige gegevens te beschermen en operationele continuïteit te waarborgen in een veranderend dreigingslandschap.

Impact op beveiligde bestandsoverdrachtprocessen

Het Cleo Harmony-datalek verstoorde bedrijfsprocessen in diverse sectoren en legde de kwetsbaarheden van verouderde MFT-systemen bloot. Organisaties die vertrouwden op gecompromitteerde servers ondervonden onderbrekingen in hun supply chains, doordat aanvallers gevoelige gegevens exfiltreerden en operationele vertragingen veroorzaakten. Voor bedrijven die afhankelijk zijn van realtime gegevensuitwisseling—zoals logistieke dienstverleners en producenten—hadden deze verstoringen een domino-effect, met vertragingen in leveringen, stilgelegde productielijnen en gevolgen voor partners verderop in de keten.

Naast bedrijfsverstoringen leidde het datalek tot aanzienlijke compromittering van gegevensbeveiliging. Gevoelige bestanden, waaronder bedrijfsgeheimen, financiële gegevens en klantendossiers, werden geëxfiltreerd naar servers onder controle van de aanvallers. Het verlies van deze gegevens stelde getroffen organisaties niet alleen bloot aan reputatieschade, maar creëerde ook compliance-risico’s, vooral voor bedrijven die onder strikte regelgeving zoals GDPR of HIPAA opereren.

Het datalek bracht ook bredere kwetsbaarheden binnen wereldwijde supply chains aan het licht. Omdat veel organisaties vertrouwen op onderling verbonden bestandsoverdrachtsystemen, kon één gecompromitteerde schakel de processen in een heel netwerk verstoren. Dit incident liet zien hoe verouderde MFT-platforms het zwakke punt kunnen zijn van verder robuuste supply chain-systemen.

Het aanpakken van deze kwetsbaarheden vereist een toewijding aan moderne beveiligingsmaatregelen. Zero-trust architectuur zorgt ervoor dat elke gebruiker en elk apparaat geauthenticeerd en geautoriseerd moet zijn voordat toegang tot gevoelige systemen wordt verleend. Multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe, terwijl granulaire toegangscontrole de rechten van gebruikers beperkt tot wat noodzakelijk is voor hun rol. Tot slot beschermt versleutelde bestandsoverdracht gegevens tijdens transport, waardoor deze worden beschermd tegen onderschepping of ongeautoriseerde toegang.

Moderne MFT-beveiligingsvereisten

Het Cleo Harmony-datalek onderstreept de dringende noodzaak van moderne beveiligingsmaatregelen in MFT-systemen. Verouderde platforms, die vooral op functionaliteit zijn ontworpen, missen de robuuste beveiligingsfuncties die nodig zijn om zich te verdedigen tegen de complexe dreigingen van vandaag. Organisaties moeten MFT-oplossingen implementeren die geavanceerde mogelijkheden integreren om veilige en veerkrachtige gegevensoverdracht te waarborgen.

Hardening-beste practices en een assume-breach architectuur zijn essentieel om dit soort aanvallen te vertragen of te voorkomen. Meerdere verdedigingslagen moeten toegang tot de interne systemen verhinderen, maar als aanvallers toch toegang krijgen, moeten er intern extra verdedigingslagen aanwezig zijn. Ongebruikte services, zoals autorun in dit Cleo-voorbeeld, moeten worden uitgeschakeld en indien mogelijk moet de code uit het systeem worden verwijderd.

Meerdere vormen van inbraakdetectie zijn onmisbaar. Al deze methoden worden lastiger bij installer-gebaseerde producten waarbij de klant controle heeft over het besturingssysteem, waardoor zij zelf de hardening moeten uitvoeren, penetratietests moeten draaien en een bountyprogramma moeten beheren. Daarentegen stelt levering van het product als een geharde virtuele appliance de leverancier in staat om deze beschermingslagen te bieden en te valideren, en wordt voorkomen dat de klant kwetsbare software installeert, zelfs wanneer het systeem op eigen locatie draait zoals gebruikelijk bij MFT.

Content-aware bescherming voegt een extra verdedigingslaag toe door automatisch gevoelige bestanden te identificeren en te classificeren op basis van hun inhoud. Deze mogelijkheid zorgt ervoor dat vertrouwelijke documenten, zoals die met persoonlijk identificeerbare informatie (PII) of financiële gegevens, tijdens overdracht en opslag van passende beveiligingsmaatregelen worden voorzien.

Advanced Threat Protection is cruciaal voor het identificeren en beperken van potentiële risico’s in realtime. Dreigingsdetectietools die in MFT-systemen zijn geïntegreerd, kunnen patronen in bestandsoverdracht analyseren op afwijkingen, zoals ongebruikelijke bestandsgroottes of toegangspogingen, en proactief maatregelen nemen om kwaadaardige activiteiten te blokkeren.

Beveiligde bestandsoverdrachtprotocollen, zoals beschermde overdrachtspaden, zijn essentieel om gegevens tijdens transport te beschermen. Deze protocollen zorgen ervoor dat gevoelige bestanden niet kunnen worden onderschept of gewijzigd tijdens de overdracht.

Moderne MFT-platforms moeten ook naadloos integreren met bestaande beveiligingstools, zoals Security Information and Event Management (SIEM)-systemen, om volledige dreigingsinzichten te bieden. Daarnaast zijn compliance-tools die aansluiten bij regelgeving zoals GDPR, HIPAA en SOC 2 onmisbaar, zodat organisaties voldoen aan wettelijke en sectorale normen.

Blue Yonder Supply Chain-aanval

Het Cleo Harmony-datalek had een verwoestende impact op Blue Yonder, een toonaangevende leverancier van supply chain-software. Aanvallers exfiltreerden maar liefst 680 GB aan gevoelige gegevens uit de systemen van Blue Yonder. Deze data omvatte vertrouwelijke supply chain-informatie, partnerovereenkomsten en mogelijk klantgevoelige dossiers, waarmee de kwetsbaarheden van verouderde MFT-systemen werden blootgelegd.

De gevolgen stroomden door naar beneden in de keten. Bedrijven die afhankelijk waren van de diensten van Blue Yonder, waaronder Starbucks en diverse supermarktketens, ondervonden operationele vertragingen, verstoringen in voorraadbeheer en domino-effecten op hun supply chain-workflows. Voor organisaties die afhankelijk zijn van realtime gegevens om productie en logistiek te coördineren, onderstreepten deze onderbrekingen de kritieke risico’s van onveilige bestandsoverdrachtsystemen.

De implicaties van het datalek gaan verder dan operationele verstoring. Het benadrukte de onderlinge verbondenheid van supply chains en hoe een compromis op één plek kan doorwerken in een heel netwerk. Bedrijven die Blue Yonder vertrouwden met hun gevoelige informatie, werden geconfronteerd met reputatieschade en compliance-risico’s.

Het voorkomen van dergelijke datalekken vereist een veilige MFT-implementatie gebaseerd op een zero-trust architectuur. Functionaliteiten als end-to-end encryptie, multi-factor authenticatie en content-aware bescherming zorgen ervoor dat gevoelige gegevens gedurende het hele overdrachtsproces veilig blijven. Daarnaast zijn robuuste compliance-tools en realtime dreigingsdetectie essentieel om supply chains te beschermen tegen toekomstige aanvallen.

Technische verdieping: Aanvalsketen & Preventie

Het Cleo Harmony-datalek voltrok zich via een gestructureerde en doelgerichte aanvalsketen die systemische zwaktes in verouderde MFT-platforms uitbuitte.

Aanvallers begonnen met het benutten van een kwetsbaarheid voor ongeauthenticeerde bestandsuploads om kwaadaardige bestanden op de servers van Cleo Harmony te plaatsen. Dit kritieke gebrek stelde ongeautoriseerde actoren in staat om basale toegangscontroles te omzeilen. De tweede fase bestond uit het plaatsen van deze bestanden in een “autorun”-map, die de geüploade bestanden automatisch uitvoerde zonder validatie. Deze bestanden startten PowerShell-scripts die extra payloads, waaronder de Malichus-malware, downloadden.

Malichus maakte hardnekkige toegang tot gecompromitteerde systemen mogelijk, waardoor aanvallers gegevens konden exfiltreren, op afstand opdrachten konden uitvoeren en hun aanwezigheid binnen getroffen netwerken konden uitbreiden.

Het voorkomen van dergelijke aanvallen vereist het aanpakken van specifieke kwetsbaarheden met robuuste beveiligingsmaatregelen:

1. Authenticatiesystemen: Multi-factor authenticatie zorgt ervoor dat alleen geautoriseerde gebruikers met MFT-platforms kunnen werken. Deze verificatielaag verkleint het risico op ongeautoriseerde toegang aanzienlijk.
2. Bestandsuploadvalidatie: Uitgebreide validatieprotocollen moeten de inhoud en integriteit van geüploade bestanden controleren. Verdachte bestanden moeten automatisch worden gemarkeerd of in quarantaine geplaatst.
3. Beheer van maptoegang: Beschermde mappenstructuren voorkomen dat kwaadaardige bestanden automatisch worden uitgevoerd. Autorun-functionaliteit moet beperkt blijven tot vertrouwde en geverifieerde bestanden.
4. Audit logging: Gedetailleerde logs van alle bestandsoperaties bieden inzicht in systeemactiviteiten, waardoor snelle detectie en reactie op afwijkingen mogelijk wordt.

Een geharde beveiligingsarchitectuur die deze maatregelen integreert, zorgt ervoor dat kwetsbaarheden zoals die in Cleo Harmony niet kunnen worden uitgebuit. Moderne MFT-platforms gebaseerd op zero-trust principes zijn cruciaal om soortgelijke datalekken in de toekomst te voorkomen.

Beveiliging van enterprise bestandsoverdracht

Beveiliging van enterprise bestandsoverdracht is een essentieel onderdeel geworden van risicobeheer binnen organisaties. Moderne MFT-systemen moeten aan strenge vereisten voldoen om de complexe cyberdreigingen van vandaag het hoofd te bieden. Een zero-trust implementatie vormt de basis van een veilig MFT-systeem, waarbij elke gebruiker en elk apparaat geauthenticeerd en geautoriseerd wordt voordat toegang tot gevoelige gegevens wordt verleend.

Continue monitoring en realtime dreigingsdetectie bieden een extra verdedigingslaag door ongebruikelijke activiteiten te identificeren en potentiële risico’s te neutraliseren voordat ze escaleren.

Kiteworks biedt een uitgebreid beveiligingsframework dat deze uitdagingen adresseert, met een combinatie van zero-trust principes, advanced threat protection en compliance-tools. Door robuuste authenticatie en content-aware bescherming te integreren, stelt Kiteworks organisaties in staat gevoelige bestandsoverdrachten te beveiligen en tegelijkertijd operationele efficiëntie te behouden. Belangrijk is dat Kiteworks wordt geleverd als een vooraf geharde virtuele appliance, met ingebouwde netwerkfirewall, een WAF die is afgestemd op Kiteworks use cases en aanvalsvectoren, en een assume-breach architectuur die software-installatie voorkomt, onverwachte processen detecteert, ongebruikte services uitschakelt, ongebruikte code verwijdert, zero trust principes afdwingt tussen interne componenten en veel soorten inbraken detecteert en waarschuwt.

Bestandsoverdrachtbeveiliging versterken om het volgende Cleo Harmony-datalek te voorkomen

Het Cleo Harmony-datalek onderstreept de kwetsbaarheden van verouderde bestandsoverdrachtsystemen en de dringende noodzaak van veilige alternatieven. Door zero-day-kwetsbaarheden uit te buiten, bracht de Termite-ransomwaregroep systemische zwaktes aan het licht die organisaties blootstelden aan datadiefstal en verstoring van processen.

Beveiligde bestandsoverdracht is een zakelijke noodzaak geworden. Organisaties moeten prioriteit geven aan platforms met robuuste beveiligingsfuncties, zodat ze gevoelige gegevens met vertrouwen kunnen delen en cyberdreigingen voorblijven. Kiteworks biedt de geavanceerde tools en architectuur die nodig zijn om aan deze eisen te voldoen, en biedt een betrouwbare weg naar veilige, toekomstbestendige bestandsoverdrachtprocessen.