الدروس المستفادة من استغلال كليو: الأدلة تؤكد على أهمية Secure MFT Secure 

في ديسمبر 2024، كشف باحثون في مجال الأمن السيبراني عن ثغرة مقلقة في تنفيذ التعليمات البرمجية عن بُعد (RCE) في منتجات نقل الملفات المُدارة من Cleo، كما ورد لأول مرة في CSO Online.

وقد استغل المهاجمون هذا الخلل بشكل فعّال في البرية، متجاوزين حتى التصحيحات التي تم إصدارها مؤخرًا. على الرغم من التحديثات الأمنية الأولية لـ Cleo، إلا أن الجهات التخريبية تمكنت من مواصلة اختراق الأنظمة المحدثة، كاشفةً عن نقاط ضعف عميقة الجذور في معالجة الملفات الأساسية، والتحقق من صحة المدخلات، ومرونة النظام الأساسي.

هذا الحادث الأخير هو جزء من اتجاه مقلق: أصبحت حلول نقل الملفات المُدارة أهدافًا رئيسية للهجمات الإلكترونية المتطورة. وتمثل هذه المنصات، المسؤولة عن النقل الآمن للملفات الحساسة للغاية للبيانات عبر قنوات موثوق بها، نقطة دخول جذابة للمهاجمين.

يمكن أن يؤدي الاختراق داخل بيئة نقل الملفات المُدارة (MFT ) إلى نتائج كارثية، بدءًا من تسرب البيانات النظامية والانتهاكات التنظيمية إلى التعطيل التشغيلي عبر قطاعات البنية التحتية الحيوية، وكلها يمكن أن تسبب ضررًا بالغًا للسمعة.

لم يعدMFT Secure اختياريًا في بيئات البنية التحتية الحيوية. يجب على المؤسسات تجاوز التصحيح التفاعلي وحلول مكافحة الفيروسات الفردية. وبدلاً من ذلك، يجب على المؤسسات أن تتبنى هياكل أمنية استباقية ومتعددة الطبقات ومتقدمة مصممة خصيصاً للدفاع عن عمليات MFT من التهديدات الحديثة.

لم يعد ما يلي اليوم من أفضل الممارسات بل أصبح من الضروريات التشغيلية:

في أواخر عام 2024، اكتشف باحثون أمنيون استغلالًا نشطًا لثغرة خطيرة في تنفيذ التعليمات البرمجية عن بُعد في منتجات نقل الملفات المُدارة من Cleo. وشملت الحلول المتأثرة كلاً من Cleo LexiCom و Cleo VLTrader و Cleo Harmony، والمستخدمة على نطاق واسع في بيئات المؤسسات.

Cleo LexiCom هو عميل MFT قائم على سطح المكتب للاتصال بشبكات التداول الرئيسية. ويوفر Cleo VLTrader إمكانات MFT على مستوى الخادم للمؤسسات متوسطة الحجم، بينما يهدف Cleo Harmony إلى تلبية احتياجات التكامل والنقل الآمن للملفات للمؤسسات الكبيرة.

حتى بعد إصدار تصحيح أمني أولي في أكتوبر 2024، استمر المهاجمون في استهداف أنظمة كليو بنجاح، مستغلين نقاط الضعف التي لم تتم معالجتها بالكامل، كما ذكرت دارك تريس في ديسمبر 2024.

حثت فرق الأمن المؤسسات على فصل الخوادم المتأثرة عن الإنترنت على الفور وتنفيذ تدابير تخفيف مؤقتة في انتظار إصلاح أكثر اكتمالاً.

1. استغلال ثغرة في تحميل الملفات لتحقيق عمليات كتابة ملفات غير مصرح بها
2. إسقاط الملفات الضارة في مجلد "التشغيل التلقائي"، مما يؤدي إلى التنفيذ التلقائي
3. الاستفادة من ميزة التشغيل التلقائي لنشر سلسلة حمولة تتضمن أرشيفات ZIP وملفات تكوين XML وأوامر PowerShell الخبيثة

كشفت تحقيقات المتابعة عن وجود دلائل على وجود تكتيكات متقدمة للمهاجمين، مثل استطلاع Active Directory، وحذف الملفات خلسة، ونشر باب خلفي مخصص بلغة جافا يُعرف باسم كليوباترا.

اختراق Cleo ليس حادثًا منفردًا. على مدى السنوات العديدة الماضية، أصبحت أنظمة نقل الملفات المُدارة أهدافًا رئيسية لجهات التهديد المتطورة. وغالباً ما تكون الملفات الحساسة التي يتم تبادلها من خلال هذه المنصات مرتبطة بشكل كبير بالعمليات التجارية أو بيانات العملاء أو المعلومات الخاضعة للتنظيم، مما يجعل مكافأة الاختراق الناجح عالية للغاية. 

تُظهر الحالات السابقة البارزة مثل MOVEit Transfer و Accellion File Transfer Appliance و Fortra GoAnywhere خروقات تُظهر نمطًا ثابتًا: تركز الجهات الفاعلة في مجال التهديد على تقنيات نقل الملفات كنقطة دخول استراتيجية إلى شبكات المؤسسات.  

تؤكد حادثة كليو على أنه حتى المؤسسات التي لديها أنظمة مصححة ومحدثة معرضة للخطر إذا لم يتم تصميم حلول MFT بمبادئ أمنية مدمجة متعددة الطبقات.

تسلط ثغرة Cleo الضوء على الحاجة إلى حلول النقل المدار MFT ) التي لا تعتمد فقط على الترقيع بل مبنية من الألف إلى الياء مع ضوابط أمنية متعددة الطبقات. صُمم حل MetaDefender Managed File Transfer MFT) لبيئات الأمان أولاً، حيث يكون التحكم في النقل المستند إلى السياسات، والوقاية من التهديدات متعددة الطبقات، والحوكمة المركزية، والعزل الصارم للمناطق أمرًا ضروريًا.

تأمين نقاط الاتصال الأولى أمر بالغ الأهمية. يقوي MetaDefender MFT عناصر التحكم في الوصول لمنع الدخول غير المصرح به قبل أن يتمكن المهاجمون من تحميل الملفات الضارة أو الحصول على موطئ قدم في الشبكة.

• التحكم في الوصولSecure : يقيّد وصول MetaDefender MFT إلى الشبكات الداخلية الموثوقة أو الشبكات المؤمنة بشبكة VPN. وهذا يمنع التعرض المباشر للمهاجمين الخارجيين الذين يحاولون تحميل حمولات خبيثة.
• المصادقة متعددة العوامل (MFA): يفرض طبقة إضافية من التحقق من المستخدم. حتى في حالة سرقة بيانات الاعتماد، لا يمكن للمهاجمين الوصول غير المصرح به بسهولة.
• عناصر التحكم في الوصول المستندة إلى الدور مع موافقات المشرف: يطبق أذونات تفصيلية للمستخدمين وعمليات سير العمل. حتى المستخدمون الذين تمت مصادقتهم يجب أن يحصلوا على موافقة المشرف على إجراءات التحميل والتنزيل المهمة.

إيقاف الملفات الخبيثة عند البوابة يمنع الهجمات من التقدم داخل النظام. يقوم MetaDefender MFT بتحليل البيانات الواردة بدقة قبل تفعيل أي محتوى خبيث. 

• خط أنابيب الفحص العميق للملفات: يحدد الملفات المتخفية تحت امتدادات زائفة ويحظرها. يتم اكتشاف أرشيفات ZIP أو ملفات XML الخبيثة عند نقطة التحميل.  
• الكشف عن بلد المنشأ: فحص الملفات الواردة حسب الموقع الجغرافي. يمكن حظر الملفات القادمة من مناطق محظورة أو عالية الخطورة تلقائياً. 
• استخراج الأرشيف ومسح المحتوى: فك ضغط الملفات المضغوطة بالكامل قبل نقلها. يكشف هذا عن البرمجيات الخبيثة المخفية داخل الأرشيفات المتداخلة، مثل ثغرات PowerShell. تعرف على المزيد حول الملفات المؤرشفة والتهديد الذي تشكله هنا. 

تجاوز الفحص الثابت ضروري للدفاع ضد التهديدات المتقدمة وغير المعروفة. يطبّق MetaDefender MFT الفحص متعدد المحركات ويحيّد المخاطر على مستوى المحتوى. 

• Metascan™ Multiscanning مع أكثر من 30 محركاً: يفحص كل ملف في نفس الوقت باستخدام محركات متعددة لمكافحة الفيروسات والكشف عن التهديدات. يتم حظر البرمجيات الخبيثة والملفات الشبيهة بملفات الويبشل قبل تنفيذها. تعرف على المزيد حول Multiscanning هنا. 
• Deep CDR™ (نزع المحتوى وإعادة بنائه): يعيد بناء الملفات عن طريق إزالة العناصر النشطة أو القابلة للتنفيذ. يتم تسليم إصدارات نظيفة وآمنة من الملفات بينما يتم تحييد التهديدات المخفية. تعرف على كيفية قيامDeep CDR بإعادة إنشاء الملفات هنا. 
• File-Based Vulnerability Assessment: يحلل الملفات بحثاً عن الثغرات المعروفة التي يمكن استغلالها لاحقاً. هذا يكتشف أنواع المستندات المسلحة قبل وقت التشغيل.