Lições da exploração Cleo: As evidências reforçam a importância de umMFT Secure 

Em dezembro de 2024, os investigadores de segurança cibernética descobriram uma vulnerabilidade alarmante de execução remota de código (RCE) de dia zero nos produtos de transferência de ficheiros geridos pela Cleo, conforme relatado pela primeira vez pelo CSO Online.

Os atacantes exploraram ativamente esta falha, contornando até os patches recentemente emitidos. Apesar das actualizações de segurança iniciais da Cleo, os agentes de ameaças conseguiram continuar a comprometer sistemas actualizados, revelando fraquezas profundamente enraizadas no manuseamento básico de ficheiros, validação de entradas e resiliência da plataforma.

Este último incidente faz parte de uma tendência preocupante: as soluções de transferência de ficheiros geridas tornaram-se os principais alvos de ciberataques sofisticados. Estas plataformas, responsáveis pela transferência segura de ficheiros de dados altamente sensíveis através de canais de confiança, representam um ponto de entrada atrativo para os atacantes.

Uma violação num ambiente MFT (transferência gerida de ficheiros) pode desencadear resultados catastróficos, desde a fuga sistémica de dados e violações regulamentares até à perturbação operacional em sectores de infra-estruturas críticas, o que pode causar graves danos à reputação.

MFT Secure já não é opcional em ambientes de infra-estruturas críticas. As organizações devem ir além da aplicação reativa de patches e de soluções antivírus únicas. Em vez disso, as organizações devem adotar arquiteturas de segurança proativas, multicamadas e avançadas, projetadas especificamente para defender as operações MFT contra cenários de ameaças modernas.

Atualmente, já não se trata de boas práticas, mas sim de necessidades operacionais:

No final de 2024, os investigadores de segurança identificaram a exploração ativa de uma vulnerabilidade crítica de execução remota de código de dia zero nos produtos de transferência de ficheiros geridos pela Cleo. As soluções afectadas incluíam o Cleo LexiCom, o Cleo VLTrader e o Cleo Harmony, amplamente utilizados em ambientes empresariais.

O Cleo LexiCom é um cliente MFT baseado no ambiente de trabalho para ligação às principais redes de negociação. O Cleo VLTrader fornece capacidades MFT ao nível do servidor para empresas de média dimensão, enquanto o Cleo Harmony se destina a satisfazer as necessidades de integração e transferência segura de ficheiros das grandes empresas.

Mesmo após a emissão de um patch de segurança inicial em outubro de 2024, os atacantes continuaram a atacar com sucesso os sistemas Cleo, explorando fraquezas que não foram totalmente resolvidas, conforme relatado pela Darktrace em dezembro de 2024.

As equipas de segurança pediram às organizações para desligarem imediatamente os servidores afectados da Internet e implementarem medidas de mitigação temporárias enquanto aguardam uma correção mais completa.

1. Exploração de uma vulnerabilidade de carregamento de ficheiros para obter gravações não autorizadas de ficheiros
2. Colocar ficheiros maliciosos na pasta "Autorun", desencadeando a execução automática
3. Aproveitamento da funcionalidade de execução automática para implementar uma cadeia de carga útil que envolve arquivos ZIP, ficheiros de configuração XML e comandos PowerShell maliciosos

As investigações de acompanhamento revelaram sinais de tácticas avançadas do atacante, como o reconhecimento do Active Diretory, a eliminação furtiva de ficheiros e a implementação de uma backdoor Java personalizada conhecida como Cleopatra.

A violação da Cleo não é um incidente isolado. Ao longo dos últimos anos, os sistemas de transferência de ficheiros geridos tornaram-se os principais alvos de agentes de ameaças sofisticados. Os ficheiros sensíveis trocados através destas plataformas estão muitas vezes profundamente ligados a operações comerciais, dados de clientes ou informações regulamentadas, tornando a recompensa por um compromisso bem sucedido extremamente elevada. 

Casos anteriores de grande visibilidade, como as violações MOVEit Transfer, Accellion File Transfer Appliance e Fortra GoAnywhere, mostram um padrão consistente: os agentes de ameaças estão a concentrar-se nas tecnologias de transferência de ficheiros como ponto de entrada estratégico nas redes empresariais.  

O incidente com a Cleo reforça o facto de que mesmo as organizações com sistemas actualizados e corrigidos estão em risco se as soluções MFT não forem concebidas com princípios de segurança integrados e em várias camadas.

O exploit Cleo realça a necessidade de soluções MFT que não dependam apenas da aplicação de patches, mas que sejam construídas desde o início com controlos de segurança de várias camadas. MetaDefender Managed File Transfer MFT) foi concebido para ambientes que privilegiam a segurança, onde o controlo de transferências baseado em políticas, a prevenção de ameaças em várias camadas, a governação centralizada e o isolamento rigoroso de zonas são essenciais.

Proteger os primeiros pontos de contacto é fundamental. MetaDefender MFT reforça os controlos de acesso para bloquear a entrada não autorizada antes que os atacantes possam carregar ficheiros maliciosos ou ganhar uma posição na rede.

• Controlo de AcessoSecure : Restringe o acesso MetaDefender MFT a redes internas confiáveis ou protegidas por VPN. Isso evita a exposição direta a atacantes externos que tentam carregar cargas maliciosas.
• Autenticação Multifactor (MFA): Impõe uma camada adicional de verificação do utilizador. Mesmo que as credenciais sejam roubadas, os atacantes não podem obter facilmente acesso não autorizado.
• Controlos de acesso baseados em funções com aprovações do supervisor: Aplica permissões granulares a utilizadores e fluxos de trabalho. Mesmo os utilizadores autenticados têm de receber aprovação do supervisor para acções críticas de carregamento e transferência.

Parar ficheiros maliciosos no gateway impede que os ataques avancem dentro do sistema. MetaDefender MFT analisa minuciosamente os dados recebidos antes que qualquer conteúdo malicioso possa ser ativado. 

• Pipeline de inspeção profunda de ficheiros: Identifica e bloqueia ficheiros disfarçados com extensões falsas. Os ficheiros ZIP ou XML maliciosos são detectados no ponto de carregamento.  
• Deteção de país de origem: Rastreia os ficheiros recebidos por geolocalização. Os ficheiros provenientes de regiões restritas ou de alto risco podem ser automaticamente bloqueados. 
• Extração de arquivos e digitalização de conteúdos: Descompacta totalmente os ficheiros comprimidos antes da transferência. Isto expõe malware oculto dentro de arquivos aninhados, tais como exploits PowerShell. Saiba mais sobre ficheiros arquivados e a ameaça que representam aqui. 

É necessário ir além da verificação estática para se defender contra ameaças avançadas e desconhecidas. MetaDefender MFT aplica o scan multi-motor e neutraliza os riscos ao nível do conteúdo. 

• Metascan™ Multiscanning com mais de 30 motores: Analisa simultaneamente cada ficheiro com vários antivírus e motores de deteção de ameaças. Malware e ficheiros do tipo webshell são bloqueados antes da execução. Saiba mais sobre o Multiscanning aqui. 
• Deep CDR™ (Desarme e Reconstrução de Conteúdo): Reconstrói os ficheiros removendo elementos activos ou executáveis. São fornecidas versões limpas e seguras dos ficheiros enquanto as ameaças ocultas são neutralizadas. Saiba como Deep CDR regenera arquivos aqui. 
• File-Based Vulnerability Assessment: Analisa os arquivos em busca de vulnerabilidades conhecidas que poderiam ser exploradas posteriormente. Isso captura tipos de documentos armados antes do tempo de execução.