“Este processo acessa o endereço IP externo para encontrar novos arquivos JAR para continuar exploração após exploração”, disseram os pesquisadores. “Esses arquivos JAR contêm funcionalidade semelhante ao webshell para persistência. Vimos invasores excluírem posteriormente esses arquivos JAR após a execução para expandir seus ataques e permanecerem furtivos.” Os pesquisadores observaram que alguns dos arquivos já haviam sido excluídos pelos invasores antes de serem devolvidos para análise, mas um arquivo de log chamado LexiCom.dbg conteria pistas sobre os arquivos de execução automática usados. Os invasores também foram vistos realizando reconhecimento do Active Directory usando nltest.exe, uma ferramenta de linha de comando que existe em servidores Windows e é usada para enumerar controladores de domínio.
Reduza dividindo servidores
Uma possível solução alternativa até que um patch esteja disponível é desabilitar o recurso de diretório Autorun na configuração do software Cleo. Segundo Huntress, isso pode ser feito acessando o menu “Configurar” do software, selecionando “Opções” e navegando até o painel “Outros” onde deverá ser feito o conteúdo do campo “Diretório Autorun”.
No entanto, isso não impedirá a exploração da vulnerabilidade de upload aleatório de arquivos, portanto a melhor forma, segundo Rapid7, é isolar da Internet os servidores com o software afetado ou colocar um firewall na frente deles.
