Nedavno otkrivena sigurnosna ranjivost u alatu za izdvajanje podataka grupe Cl0p omogućava izvršavanje udaljenog koda.
Ova ranjivost, označena kao GCVE-1-2025-0002, objavljena je 1. jula 2025. godine i ima visoku ocjenu ozbiljnosti od 8.9 na CVSS:4.0 skali.
Ključni zaključci:
1. GCVE-1-2025-0002 sa ocjenom ozbiljnosti 8.9/10 pronađena je u Python alatu grupe Cl0p za izdvajanje podataka.
2. Ranjivost ubacivanja u školjku (Shell Injection): Nepravilna validacija unosa omogućava izvršavanje udaljenog koda putem malicioznih naziva datoteka.
3. Ranljivi alat je korišten u velikim kampanjama MoveIt tokom 2023-2024.
4. Kriminalni autori neće pružiti ispravke, ostavljajući ranjivost neadresiranom.
Navedeni nedostatak potiče od nepravilne validacije unosa u Python alatki za izdvajanje podataka, koja se često koristila tokom ozloglašenih MoveIt kampanja koje su zahvatile organizacije tokom 2023. i 2024. godine. Zlonamjerni softver konstruiše komande operativnog sistema direktnim spajanjem nizova koje dostavlja napadač, bez primjene odgovarajućih mehanizama za čišćenje unosa.
Tehnički detalji ranjivosti ubacivanja u školjku
Computer Incident Response Center Luxembourg (CIRCL) izvještava da se klasifikacija ranjivosti svrstava u CWE-20 (Nepravilna validacija unosa), ukazujući na temeljni sigurnosni nedostatak u načinu na koji zlonamjerni softver obrađuje podatke pod kontrolom korisnika. Konkretno, autentificirani kraj na serveru grupe Cl0p za prikupljanje podataka prihvata nazive datoteka ili direktorija primljene sa kompromitovanih mašina i prosleđuje ih direktno u sekvencu izbjegavanja školjke bez validacije. Ovaj nedostatak dizajna stvara opasan scenario gdje bi se posebno konstruisani nazivi datoteka koji sadrže maliciozne komande školjke mogli izvršiti na sopstvenoj infrastrukturi operatora ransomware-a. Ranjivost u suštini omogućava napade ubacivanja komandi na same sisteme koje grupa Cl0p koristi za upravljanje svojim kriminalnim operacijama. Sigurnosni stručnjaci napominju da ovo predstavlja rijedak slučaj gdje bi ranjivost u kriminalnom zlonamjernom softveru potencijalno mogla biti iskorištena protiv samih aktera prijetnji. String vektora CVSS “AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y” ukazuje na iskorištavanje putem mreže sa niskom složenošću napada, ali zahtijeva interakciju korisnika.
Faktori rizika:
Pogođeni proizvodi: Python alatka grupe Cl0p za izdvajanje podataka.
Uticaj: Izvršavanje udaljenog koda (RCE).
Preduslovi za iskorištavanje: Mrežni pristup serveru grupe Cl0p za prikupljanje podataka, potrebna interakcija korisnika, pristup autentificiranom kraju, mogućnost kontrole naziva datoteka/direktorija sa kompromitovanih mašina.
CVSS 3.1 ocjena: 8.9 (Visoka).
Nije očekivana zvanična zakrpa.
Kao što se i očekuje od operacija kriminalnog zlonamjernog softvera, sigurnosni istraživači ne očekuju zvaničnu zakrpu ili saradnju od autora ransomware-a Cl0p radi adresiranja ove ranjivosti. Alexandre Dulaunoy navodi da se “ne očekuje zvanična zakrpa ili saradnja od autora malicioznog softvera”, ističući jedinstveni izazov objelodanjivanja ranjivosti u ekosistemu cyberkriminala. Ranjivost utiče na komponentu izdvajanja podataka iz skupa alata ransomware-a Cl0p, koji je odgovoran za brojne visokoprofilne povrede podataka i kampanje iznude. MoveIt Transfer kampanje pomenute u objavi rezultirale su time da su stotine organizacija širom svijeta postale žrtve krađe podataka i ransomware napada. Ovo otkriće naglašava često zanemarene sigurnosne slabosti prisutne u infrastrukturi kriminalnog malicioznog softvera. Iako praktično iskorištavanje ove ranjivosti ostaje ograničeno na scenarije gdje sigurnosni istraživači ili konkurentski hakeri dobiju pristup operativnim sistemima grupe Cl0p, to pokazuje da čak i sofisticirane grupe ransomware-a nisu imune na greške u kodiranju i sigurnosne propuste u vlastitim alatima.