Ερευνητές πιστεύουν ότι κάποιοι hackers εκμεταλλεύονται ευπάθειες του λογισμικού SimpleHelp Remote Monitoring and Management (RMM) για να αποκτήσουν αρχική πρόσβαση σε δίκτυα.

Οι ευπάθειες παρακολουθούνται ως CVE-2024-57726, CVE-2024-57727 και CVE-2024-57728 και επιτρέπουν στους κυβερνοεγκληματίες να κάνουν λήψη και να ανεβάζουν αρχεία σε συσκευές και να κλιμακώνουν τα προνόμιά τους σε επίπεδα διαχειριστή.
Τα τρωτά σημεία ανακαλύφθηκαν και αποκαλύφθηκαν από ερευνητές της Horizon3 πριν από δύο εβδομάδες. Η SimpleHelp κυκλοφόρησε ενημερώσεις για τη διόρθωσή τους (εκδόσεις προϊόντος 5.5.8, 5.4.10 και 5.3.9).
Δείτε επίσης: Η Apple διορθώνει την πρώτη zero-day ευπάθεια για το 2025
Η Arctic Wolf αναφέρει τώρα ότι hackers στοχεύουν διακομιστές SimpleHelp. Η εκστρατεία φαίνεται να ξεκίνησε περίπου μια εβδομάδα μετά τη δημόσια αποκάλυψη των ευπαθειών.
Η εταιρεία δεν είναι 100% σίγουρη ότι οι επιθέσεις αξιοποιούν αυτά τα σφάλματα, αλλά πιστεύει σε ένα βαθμό ότι σχετίζονται με την αναφορά της Horizon3.
“Αν και δεν έχει επιβεβαιωθεί ότι τα τρωτά σημεία που αποκαλύφθηκαν πρόσφατα ευθύνονται για την καμπάνια που παρατηρήθηκε, η Arctic Wolf συνιστά ανεπιφύλακτα την αναβάθμιση στις πιο πρόσφατες διαθέσιμες σταθερές εκδόσεις του SimpleHelp server software“, αναφέρει η έκθεση.
“Σε περιπτώσεις όπου το SimpleHelp client είχε εγκατασταθεί σε συσκευές για third-party support sessions, αλλά δεν χρησιμοποιείται ενεργά για καθημερινές λειτουργίες, η Arctic Wolf συνιστά την απεγκατάσταση του λογισμικού για μείωση της πιθανότητας επίθεσης“.
Δείτε επίσης: Ευπάθεια του Apache Solr επιτρέπει Arbitrary Path write-access
Η πλατφόρμα παρακολούθησης απειλών Shadowserver Foundation ανέφερε ότι βλέπει 580 ευάλωτες συσκευές. Οι περισσότερες (345) βρίσκονται στις Ηνωμένες Πολιτείες.
Επιθέσεις
Η Artic Wolf αναφέρει ότι το SimpleHelp ‘Remote Access.exe‘ process εκτελούνταν ήδη στο παρασκήνιο πριν από την επίθεση, υποδεικνύοντας ότι το SimpleHelp είχε εγκατασταθεί προηγουμένως για περιόδους απομακρυσμένης υποστήριξης στις συσκευές.
Το πρώτο σημάδι παραβίασης ήταν ο SimpleHelp client στη συσκευή στόχο που επικοινωνούσε με έναν μη εγκεκριμένο διακομιστή SimpleHelp.
Ο εισβολέας μπορεί να εκμεταλλεύεται τις ευπάθειες στο SimpleHelp για να αποκτήσει τον έλεγχο του client ή να χρησιμοποιεί κλεμμένα διαπιστευτήρια για να παραβιάσει τη σύνδεση.

Μόλις μπει μέσα, ο εισβολέας τρέχει εντολές cmd.exe, όπως «net» και «nltest», για να συγκεντρώσει πληροφορίες σχετικά με το σύστημα (π.χ. λίστα λογαριασμών χρηστών, ομάδων, shared resources, domain controllers) και να δοκιμάσει τη συνδεσιμότητα του Active Directory.
Αυτές οι ενέργειες συνηθίζονται σε επιθέσεις που στοχεύουν στην κλιμάκωση προνομίων και στο lateral movement. Ωστόσο, η Arctic Wolf λέει ότι η κακόβουλη συνεδρία διακόπηκε προτού μπορέσει να καθοριστεί τι θα έκανε στη συνέχεια ο επιτιθέμενος.
Δείτε επίσης: Κρίσιμη ευπάθεια του Fleet Server εκθέτει ευαίσθητες πληροφορίες
Συνιστάται στους χρήστες του SimpleHelp να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση για τη διόρθωση των ευπαθειών.
Περισσότερες πληροφορίες σχετικά με τον τρόπο εφαρμογής των ενημερώσεων ασφαλείας είναι διαθέσιμες στο ενημερωτικό δελτίο της SimpleHelp.
Στο σημερινό ψηφιακό τοπίο, οι επιθέσεις στον κυβερνοχώρο γίνονται όλο και πιο περίπλοκες και διαδεδομένες. Με την άνοδο της απομακρυσμένης εργασίας και της εικονικής συνεργασίας, είναι πιο σημαντικό από ποτέ για τους οργανισμούς να δίνουν προτεραιότητα σε μέτρα κυβερνοασφάλειας για την προστασία ευαίσθητων δεδομένων και συστημάτων.
Μια κρίσιμη πτυχή της ασφάλειας ενός δικτύου είναι η έγκαιρη εφαρμογή ενημερώσεων κώδικα και ενημερώσεων ασφαλείας. Αυτές οι ενημερώσεις περιέχουν συχνά κρίσιμες διορθώσεις για γνωστά τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν οι hackers.
Στην περίπτωση των τρωτών σημείων του λογισμικού SimpleHelp RMM που επιδιορθώθηκαν πρόσφατα, η άμεση ενημέρωση θα μπορούσε να έχει εμποδίσει τους εισβολείς να αποκτήσουν αρχική πρόσβαση στα δίκτυα-στόχους.
Πηγή: www.bleepingcomputer.com