Cleo製ファイル転送製品に複数脆弱性 - すでに悪用も

Cleo Communicationsが提供するファイル転送製品に複数の深刻な脆弱性が判明し、攻撃の対象となっている。米当局なども注意を呼びかけている。

同社が提供する「Cleo Harmony」「Cleo VLTrader」「Cleo LexiCom」において、脆弱性「CVE-2024-50623」が明らかとなったもの。同脆弱性は、認証を必要とすることなく、ファイルをアップロードしたり、ダウンロードが可能となり、リモートよりコードを実行されるおそれがある。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を「高（High）」とレーティングしている。

Cleoでは同脆弱性についてアドバイザリを公開し、3製品に向けてそれぞれアップデートとなる「同5.8.0.21」をリリースした。

脅威調査を行うHuntressによれば、同脆弱性に対する攻撃が12月3日より確認されているという。くわえて修正版として公開された「同5.8.0.21」では、実際に発生している攻撃に対して修正が不十分であると指摘。ファイアウォールで外部からのアクセスを遮断するなど影響を緩和するよう呼びかけている。

（Security NEXT - 2024/12/16 ） ツイート

PR

関連記事

クレカ決済データ2.5万件超をメールで店舗に誤送信 - 東急モールズD
個人情報含むPCを電車内に置き忘れ、データは暗号化 - 埼玉県
無関係企業に個人情報を誤送信、システム改修時に不具合 - ふるさと島根定住財団
発電事業投資の関連システムに攻撃、詳細を調査 - みずほリース
外部クラウドからユーザー属性情報が流出、原因を調査 - TOKYO FM
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒
Veeamバックアップ製品に深刻な脆弱性 - 推奨環境ではリスク低減
「Chrome」にセキュリティアップデート - 脆弱性1件を修正
システムにサイバー攻撃、患者情報など流出のおそれ - 徳島大病院