الدروس المستفادة من استغلال كليو: الأدلة تؤكد على أهمية Secure MFT Secure 

في ديسمبر 2024، كشف باحثون في مجال الأمن السيبراني عن ثغرة مقلقة في تنفيذ التعليمات البرمجية عن بُعد (RCE) في منتجات نقل الملفات المُدارة من Cleo، كما ورد لأول مرة في CSO Online.

وقد استغل المهاجمون هذا الخلل بشكل فعّال في البرية، متجاوزين حتى التصحيحات التي تم إصدارها مؤخرًا. على الرغم من التحديثات الأمنية الأولية لـ Cleo، إلا أن الجهات التخريبية تمكنت من مواصلة اختراق الأنظمة المحدثة، كاشفةً عن نقاط ضعف عميقة الجذور في معالجة الملفات الأساسية، والتحقق من صحة المدخلات، ومرونة النظام الأساسي.

هذا الحادث الأخير هو جزء من اتجاه مقلق: حلول نقل الملفات المُدارة أهدافًا رئيسية للهجمات الإلكترونية المتطورة. تمثل هذه المنصات، المسؤولة عن النقل الآمن للملفات التي تحتوي على بيانات حساسة للغاية عبر قنوات موثوقة، نقطة دخول جذابة للمهاجمين.

يمكن أن يؤدي الاختراق داخل بيئة نقل الملفات المُدارة (MFT ) إلى نتائج كارثية، بدءًا من تسرب البيانات النظامية والانتهاكات التنظيمية إلى التعطيل التشغيلي عبر قطاعات البنية التحتية الحيوية، وكلها يمكن أن تسبب ضررًا بالغًا للسمعة.

لمMFT Secure MFT اختيارياً في بيئات البنية التحتية الحيوية. يجب على المؤسسات أن تتجاوز حلول التصحيح التفاعلية ومضادات الفيروسات الفردية. وبدلاً من ذلك، يجب على المؤسسات اعتماد بنى أمنية استباقية ومتعددة الطبقات ومتقدمة مصممة خصيصاً للدفاع عن MFT ضد التهديدات الحديثة.

لم يعد ما يلي اليوم من أفضل الممارسات بل أصبح من الضروريات التشغيلية:

في أواخر عام 2024، اكتشف باحثون أمنيون استغلالًا نشطًا لثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد في منتجات نقل الملفات المدارة من Cleo. حلول المتأثرة Cleo LexiCom و Cleo VLTrader و Cleo Harmony، وهي منتجات مستخدمة على نطاق واسع في بيئات المؤسسات.

Cleo LexiCom هو عميل MFT قائم على سطح المكتب للاتصال بشبكات التداول الرئيسية. ويوفر Cleo VLTrader إمكانات MFT على مستوى الخادم للمؤسسات متوسطة الحجم، بينما يهدف Cleo Harmony إلى تلبية احتياجات التكامل والنقل الآمن للملفات للمؤسسات الكبيرة.

حتى بعد إصدار تصحيح أمني أولي في أكتوبر 2024، استمر المهاجمون في استهداف أنظمة كليو بنجاح، مستغلين نقاط الضعف التي لم تتم معالجتها بالكامل، كما ذكرت دارك تريس في ديسمبر 2024.

حثت فرق الأمن المؤسسات على فصل الخوادم المتأثرة عن الإنترنت على الفور وتنفيذ تدابير تخفيف مؤقتة في انتظار إصلاح أكثر اكتمالاً.

1. استغلال ثغرة في تحميل الملفات لتحقيق عمليات كتابة ملفات غير مصرح بها
2. إسقاط الملفات الضارة في مجلد "التشغيل التلقائي"، مما يؤدي إلى التنفيذ التلقائي
3. الاستفادة من ميزة التشغيل التلقائي لنشر سلسلة حمولة تتضمن أرشيفات ZIP وملفات تكوين XML وأوامر PowerShell الخبيثة

كشفت تحقيقات المتابعة عن وجود دلائل على وجود تكتيكات متقدمة للمهاجمين، مثل استطلاع Active Directory، وحذف الملفات خلسة، ونشر باب خلفي مخصص بلغة جافا يُعرف باسم كليوباترا.

اختراق Cleo ليس حادثًا منفردًا. على مدى السنوات العديدة الماضية، أصبحت أنظمة نقل الملفات المُدارة أهدافًا رئيسية لجهات التهديد المتطورة. وغالباً ما تكون الملفات الحساسة التي يتم تبادلها من خلال هذه المنصات مرتبطة بشكل كبير بالعمليات التجارية أو بيانات العملاء أو المعلومات الخاضعة للتنظيم، مما يجعل مكافأة الاختراق الناجح عالية للغاية. 

تُظهر الحالات السابقة البارزة مثل MOVEit Transfer و Accellion File Transfer Appliance و Fortra GoAnywhere خروقات تُظهر نمطًا ثابتًا: تركز الجهات الفاعلة في مجال التهديد على تقنيات نقل الملفات كنقطة دخول استراتيجية إلى شبكات المؤسسات.  

تؤكد حادثة Cleo أن حتى المؤسسات التي لديها أنظمة محدثة ومُصَحَّحة معرضة للخطر إذا لمحلول MFT مصممة وفقًا لمبادئ أمان متعددة الطبقات مدمجة.

يبرز استغلال Cleo الحاجة إلىحلول MFT حلول لا تعتمد فقط على التصحيحات، بل يتم بناؤها من الأساس باستخدام ضوابط أمان متعددة الطبقات. تم تصميم MetaDefender Managed File Transfer MFT) للبيئات التي تضع الأمان في المقام الأول، حيث يعد التحكم في النقل القائم على السياسات، والوقاية من التهديدات متعددة الطبقات، والحوكمة المركزية، والعزل الصارم للمناطق أمورًا أساسية.

يعد تأمين نقاط الاتصال الأولى أمرًا بالغ الأهمية. يعزز MetaDefender Managed File Transfer MFT) ضوابط الوصول لمنع الدخول غير المصرح به قبل أن يتمكن المهاجمون من تحميل ملفات ضارة أو الحصول على موطئ قدم في الشبكة.

• التحكمSecure : يقصر الوصول إلى MetaDefender Managed File Transfer MFT) على الشبكات الداخلية الموثوقة أو الشبكات المؤمنة بواسطة VPN. وهذا يمنع التعرض المباشر للمهاجمين الخارجيين الذين يحاولون تحميل حمولات ضارة.
• المصادقة متعددة العوامل (MFA): يفرض طبقة إضافية من التحقق من المستخدم. حتى في حالة سرقة بيانات الاعتماد، لا يمكن للمهاجمين الوصول غير المصرح به بسهولة.
• عناصر التحكم في الوصول المستندة إلى الدور مع موافقات المشرف: يطبق أذونات تفصيلية للمستخدمين وعمليات سير العمل. حتى المستخدمون الذين تمت مصادقتهم يجب أن يحصلوا على موافقة المشرف على إجراءات التحميل والتنزيل المهمة.

يمنع إيقاف الملفات الضارة عند البوابة الهجمات من التقدم داخل النظام. يقوم MetaDefender Managed File Transfer MFT) بتحليل البيانات الواردة بدقة قبل أن يتم تنشيط أي محتوى ضار. 

• خط أنابيب الفحص العميق للملفات: يحدد الملفات المتخفية تحت امتدادات زائفة ويحظرها. يتم اكتشاف أرشيفات ZIP أو ملفات XML الخبيثة عند نقطة التحميل.  
• الكشف عن بلد المنشأ: فحص الملفات الواردة حسب الموقع الجغرافي. يمكن حظر الملفات القادمة من مناطق محظورة أو عالية الخطورة تلقائياً. 
• استخراج الأرشيف ومسح المحتوى: فك ضغط الملفات المضغوطة بالكامل قبل نقلها. يكشف هذا عن البرمجيات الخبيثة المخفية داخل الأرشيفات المتداخلة، مثل ثغرات PowerShell. تعرف على المزيد حول الملفات المؤرشفة والتهديد الذي تشكله هنا. 

من الضروري تجاوز المسح الثابت للدفاع ضد التهديدات المتقدمة والمجهولة. يستخدم MetaDefender Managed File Transfer MFT) مسحًا متعدد المحركات ويحيد المخاطر على مستوى المحتوى. 

• Metascan™ Multiscanning مع أكثر من 30 محركاً: يفحص كل ملف في نفس الوقت باستخدام محركات متعددة لمكافحة الفيروسات والكشف عن التهديدات. يتم حظر البرمجيات الخبيثة والملفات الشبيهة بملفات الويبشل قبل تنفيذها. تعرف على المزيد حول Multiscanning هنا. 
• Deep CDR™ (نزع المحتوى وإعادة بنائه): يعيد بناء الملفات عن طريق إزالة العناصر النشطة أو القابلة للتنفيذ. يتم تسليم إصدارات نظيفة وآمنة من الملفات بينما يتم تحييد التهديدات المخفية. تعرف على كيفية قيامDeep CDR بإعادة إنشاء الملفات هنا. 
• File-Based Vulnerability Assessment: يحلل الملفات بحثاً عن الثغرات المعروفة التي يمكن استغلالها لاحقاً. هذا يكتشف أنواع المستندات المسلحة قبل وقت التشغيل.