Multiple Products

Die Schwachstelle betrifft die Cleo-Produkte Harmony, VLTrader und LexiCom – Anwendungen für den verwalteten Dateitransfer (Managed File Transfer) zwischen Unternehmen. Ursache ist eine fehlende Beschränkung beim Hochladen von Dateien in Verbindung mit den Standardeinstellungen des sogenannten Autorun-Verzeichnisses. Dieses Verzeichnis verarbeitet abgelegte Dateien automatisch. Ein Angreifer kann daher aus der Ferne und ohne vorherige Anmeldung eigene Dateien einschleusen und darüber beliebige Bash- oder PowerShell-Befehle auf dem darunterliegenden Host-System ausführen lassen. Da weder gültige Zugangsdaten noch eine Benutzerinteraktion nötig sind und die Befehle direkt auf dem Betriebssystem laufen, kann der Angreifer das betroffene System vollständig übernehmen. Besonders heikel ist dies, weil solche Dateitransfer-Server typischerweise aus dem Internet erreichbar sind und sensible Geschäftsdaten zwischen Partnern austauschen – ein erfolgreicher Angriff öffnet damit den Zugang zu vertraulichen Datenströmen.