Leverantörskedjan som säkerhetsrisk – lärdomar från Hertz-läckan

Biluthyrningsjätten Hertz blev våren 2025 ett varnande exempel på hur sårbar en verksamhet är för sina IT-leverantörers brister. I april avslöjades att hundratusentals kunddata – inklusive namn, kontaktinformation, födelsedatum, körkortsuppgifter och i vissa fall även personnummer – hade stulits under en cyberattack¹. Det anmärkningsvärda var att Hertz egna system aldrig hackats; istället var det underleverantören, mjukvaruföretaget Cleo, som angriparna gav sig på².

Detta fall illustrerar perfekt den nya verkligheten inom cybersäkerhet: supply chain-attacker har blivit den mest effektiva vägen för cyberbrottslingar att nå sina mål. När direkta attacker mot stora företag blir alltmer svåra, vänder sig angripare till svagare länkar i kedjan – tredjepartsleverantörer som har tillgång till känslig data från flera kunder samtidigt.

Anatomin av en supply chain-attack: Cleo-incidenten

Dubbla zero-day sårbarheter

Angreppet på Cleo visar den sofistikerade naturen hos moderna cyberhot. I slutet av 2024 upptäckte och utnyttjade den rysskopplade ransomware-ligan Clop inte en, utan två separata zero-day sårbarheter i Cleos filöverföringsplattform³:

CVE-2024-50623 (Oktober 2024): En orestrikterad filuppladdnings- och nedladdningssårbarhet som möjliggjorde fjärrkörning av kod⁴.

CVE-2024-55956 (December 2024): En ny sårbarhet som tillåter oautentiserade användare att importera och köra godtyckliga bash- eller PowerShell-kommandon genom att utnyttja standardinställningarna i Autorun-katalogen⁵.

Teknisk omfattning

Clop-gruppen visade anmärkningsvärd systematik i sin approach. De först exploaterade CVE-2024-50623 i oktober 2024, men när Cleo släppte en patch fortsatte de med CVE-2024-55956 – en helt separat sårbarhet som inte var en patch-bypass utan en ny attack-vektor⁶.

För att underlätta sina attacker deployerade Clop en Java-backdoor kallad ”Malichus” som möjliggjorde:

• Datastöld från komprometterade nätverk
• Fjärrkommandokörning
• Lateral rörelse inom organisationer
• Fortsatt åtkomst även efter initial kompromittering⁷

Över 70 organisationer drabbades globalt

Omfattningen av Cleo-attacken

Clop skröt på sitt läckageforum över att ha exfiltrerat information från ”nästan 60 företag” genom denna enda sårbarhet⁸, men siffran har sedan vuxit. Över 70 organisationer har identifierats som offer för Cleo-attackerna, enligt cybersäkerhetsexperter⁹.

Bekräftat drabbade organisationer inkluderar:

• Hertz Corporation (inklusive Dollar och Thrifty-varumärkena)
• WK Kellogg (amerikanska livsmedelsjätten)
• Western Alliance Bank (över 20,000 kunder påverkade)
• Hewlett Packard Enterprise (bekräftade koppling)
• Thomson Reuters Legal Tracker (subsidiär påverkad)¹⁰

Hertz: Klassisk supply chain-konsekvens

När Hertz först informerades om Cleo-incidenten i oktober 2024 hävdade företaget att de inte sett **”bevis för datastöld”**¹¹. Denna reaktion är typisk för supply chain-attacker – den direkta påverkan syns inte omedelbart, vilket gör att organisationer underskattar risken.

Månader senare tvingades Hertz medge omfattningen:

• Över 100,000 kunder påverkade enligt preliminära uppskattningar¹²
• Känsliga personuppgifter inklusive körkort och betalningsdata från kunder över hela världen
• Separata incidentnotiser i EU, Australien, Nya Zeeland och Kanada för att uppfylla lokala dataskyddsregler¹³
• Endast cirka 3,400 kunder i Maine enligt offentliga dokument, vilket tyder på att den totala siffran kan vara betydligt högre¹⁴

Clops utveckling: Från MOVEit till Cleo

Historisk kontext och modus operandi

Clop-gruppen är ingen nybörjare inom supply chain-attacker. De stod även bakom den massiva MOVEit Transfer-kampanjen 2023 som drabbade närmare 2,800 organisationer och etablerade dem som ledande inom denna typ av attacker¹⁵.

Clops strategi följer ett väldefinierat mönster:

1. Identifiera högt använda B2B-plattformar med många företagskunder
2. Hitta och exploatera zero-day sårbarheter innan leverantören kan reagera
3. Massiv data-exfiltration från dussintals organisationer samtidigt
4. Koordinerad utpressning genom hot om offentliggörande av stulen data

Teknisk innovation och persistens

I Cleo-kampanjen visade Clop anmärkningsvärd teknisk persistens. När CVE-2024-50623 patchades i oktober utvecklade de omedelbart exploits för CVE-2024-55956. Denna förmåga att snabbt pivotera mellan sårbarheter visar på betydande tekniska resurser och förkunskaper¹⁶.

CISA (Cybersecurity and Infrastructure Security Agency) lade till båda sårbarheterna i sin Known Exploited Vulnerabilities (KEV)-katalog, med deadline för federala organisationer att patcha senast 3 januari 2025 för CVE-2024-50623 och 7 januari 2025 för CVE-2024-55956¹⁷.

Svenska implikationer: Ökad sårbarhet för supply chain-attacker

Nationell hotbild och sårbarheter

För svenska organisationer representerar Cleo-incidenten en väckarklocka om supply chain-riskernas kritiska natur. Sveriges höga digitaliseringsgrad och många internationella B2B-kopplingar gör landet särskilt utsatt för denna typ av attacker.

Särskilt sårbara sektorer:

• Tillverkningsindustrin med omfattande EDI (Electronic Data Interchange) och filöverföringsbehov
• Finanssektorn som ofta använder MFT-lösningar för säkra transaktioner
• Logistik och transport med komplexa leverantörskedjor
• Offentlig sektor med många externa IT-leverantörer

Regulatoriska konsekvenser

NIS2-direktivet och GDPR skapar betydande juridiska risker för svenska organisationer som drabbas av supply chain-attacker. Hertz exempel visar att företag kan vara fullt ansvariga för dataläckor även när orsaken ligger hos en tredjepartsleverantör.

Tekniska försvar: Comprehensive supply chain security

Leverantörsriskhantering

Inventering och kontinuerlig översikt:

• Kartlägg alla tredjepartsleverantörer som har tillgång till känslig data
• Kategorisera leverantörer efter risknivå och datatillgång
• Implementera leverantörsregister med regelbundna uppdateringar av säkerhetsstatus
• Övervaka leverantörers cybersäkerhetsincidenter genom threat intelligence

Avtalsmässiga säkerhetskrav:

• Strikta säkerhetsstandarder (ISO 27001, SOC 2 Type II) som krav i avtal
• Incident notification-klausuler med specifika tidsfrister (24-48 timmar)
• Säkerhetsrevisionrättigheter med möjlighet till oberoende penetrationstester
• Ansvarsbegränsning och försäkringskrav för cybersäkerhetsincidenter

Teknisk övervakning och begränsning

Zero Trust för leverantörer:

• Minsta möjliga privilegier för alla tredjepartsintegrations
• Nätverkssegmentering för att isolera leverantörstillgång
• Kontinuerlig övervakning av all tredjepartstrafik med SIEM/SOAR-integration
• API-säkerhet med rate limiting och anomaly detection

Incident response för supply chain:

• Snabb isolering av komprometterade leverantörsanslutningar
• Automatiserad threat hunting baserat på leverantörsspecifika IoCs
• Forensisk beredskap för att analysera leverantörsrelaterade incidenter
• Kommunikationsprotokoll för koordinering med leverantörer under kriser

Framtida hotbild: Supply chain som primär attack-vektor

Trender och prognoser

Cybersäkerhetsexperter förutspår att supply chain-attacker kommer att öka dramatiskt 2025 och framåt av flera skäl:

1. Direkta attacker blir svårare när organisationer förbättrar sina primära försvar
2. Högre ROI för angripare – en kompromitterad leverantör kan ge tillgång till dussintals kunder
3. Komplicerad attribution gör det svårare för rättsväsende att lagföra
4. Begränsad regulatory oversight av tredjepartsleverantörer

Teknologisk utveckling och nya risker

Emerging threats inom supply chain:

• AI-förstärkta attacker som kan automatiskt identifiera sårbarar leverantörer
• Software Supply Chain Attacks genom kompromitterade open source-bibliotek
• Cloud Supply Chain där molnleverantörer blir primära mål
• IoT Supply Chain med miljontals enheter från samma leverantör

Regulatoriska perspektiv: EU:s svar på supply chain-risker

NIS2-direktivets krav

NIS2-direktivet, som implementeras i svensk lag, ställer explicita krav på supply chain risk management:

• Due diligence av alla kritiska leverantörer
• Incident reporting även för tredjepartsrelaterade säkerhetsincidenter
• Risk assessments som inkluderar leverantörskedjans hela längd
• Kontinuerlig övervakning av leverantörers säkerhetsstatus

Praktisk regelefterlevnad för svenska företag

För att uppfylla NIS2-kraven måste svenska organisationer:

1. Implementera formell supplier risk management process
2. Dokumentera alla kritiska leverantörsberoenden
3. Etablera incident response procedures för supply chain-händelser
4. Genomföra regelbundna supply chain risk assessments
5. Rapportera leverantörsrelaterade incidenter till relevanta myndigheter

Lärdomar från Hertz: Fem kritiska takeaways

1. Synlighet är avgörande

Hertz hade ingen real-time insikt i vad som hände hos Cleo. Modern supply chain security kräver kontinuerlig övervakning, inte bara periodiska revisioner.

2. Incident response måste inkludera leverantörer

När Hertz först informerades om Cleo-problemet reagerade de defensivt. Proaktiv incident response borde ha inkluderat omedelbar forensisk analys hos leverantören.

3. Datasegmentering begränsar skada

Att Hertz använde Cleo för ”begränsade syften” begränsade inte skadan tillräckligt. Data minimization principles måste tillämpas konsekvent.

4. Transparens accelererar återhämtning

Hertz väntan från oktober till april med att bekräfta dataläckan försenade skyddsåtgärder för kunder. Tidig transparens är bättre än sen förklaring.

5. Supply chain security är inte outsourceable

Även om Cleo bar det tekniska ansvaret, var det Hertz som fick hantera konsekvenserna. Ansvar för cybersäkerhet kan inte delegeras bort.

Slutsatser: En ny säkerhetsrealitet

Hertz-Cleo-incidenten markerar en punkt där supply chain-attacker har blivit mainstream hot snarare än sällsynta undantag. För svenska organisationer innebär detta en fundamental förändring i hur cybersäkerhet måste tänkas och implementeras.

Tre strategiska imperativ:

1. Från teknisk till holistisk säkerhet – säkerhet måste genomsyra hela värdekedjan
2. Från reaktiv till prediktiv övervakning – threat hunting måste inkludera leverantörslandskapet
3. Från compliance till kontinuerlig förbättring – regelefterlevnad är minimum, inte mål

Som Hertz-fallet visar är det inte längre frågan om en supply chain-attack kommer att drabba svenska organisationer, utan när. Företag och myndigheter som agerar proaktivt nu kommer att vara betydligt bättre förberedda när nästa Cleo-liknande incident inträffar.

I en sammankopplad värld är cybersäkerhet bara så stark som dess svagaste länk – och den länken finns ofta hos en leverantör du kanske aldrig tänkt på som en säkerhetsrisk.

---

Källor:

1. Security Affairs, ”Hertz disclosed a data breach following 2024 Cleo zero-day attack”, 15 april 2025
2. The Register, ”Hertz says personal, sensitive data stolen in Cleo attacks”, 15 april 2025
3. BleepingComputer, ”Clop ransomware claims responsibility for Cleo data theft attacks”, 17 december 2024
4. Cleo, ”Cleo Product Security Advisory – CVE-2024-50623”, oktober 2024
5. Cybereason, ”CVE-2024-55956: Zero-Day Vulnerability in Cleo Software Could Lead to Data Theft”
6. Rapid7, teknisk analys av CVE-2024-55956, december 2024
7. SC Media, ”Cleo vulnerability attacks claimed by Clop ransomware gang”, 17 december 2024
8. BleepingComputer, ”Clop ransomware claims responsibility for Cleo data theft attacks”, 17 december 2024
9. IT Pro, ”Cleo attack victim list grows as Hertz confirms customer data stolen”, 15 april 2025
10. SecurityWeek, ”Hertz Discloses Data Breach Linked to Cleo Hack”, 15 april 2025
11. Fast Company, ”Hertz says hackers stole customer data in vendor breach”, 15 april 2025
12. The Record, ”More than 100,000 had information stolen from Hertz through Cleo file share tool”, 16 april 2025
13. Computer Weekly, ”Hertz warns UK customers of Cleo-linked data breach”
14. Cybersecurity Dive, ”Hertz says personal data breached in connection with Cleo file-transfer flaws”, 15 april 2025
15. CISA, ”#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability”
16. SecurityWeek, ”CVE Assigned to Cleo Vulnerability as Cl0p Ransomware Group Takes Credit for Exploitation”, 16 december 2024
17. SOCRadar, ”Cleo File Transfer Vulnerabilities (CVE-2024-50623, CVE-2024-55956) – Cl0P’s Latest Attack Vector”, 8 april 2025