Bilgisayar korsanlarının, hedef ağlara ilk erişim elde etmek için yakın zamanda sabit SimpleHelp Uzaktan İzleme ve Yönetim (RMM) yazılım güvenlik açıklarından yararlandığına inanılıyor.
CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 olarak izlenen kusurlar, tehdit aktörlerinin cihazlara dosya indirmesine ve yüklemesine ve ayrıcalıkları idari seviyelere yükseltmesine izin verir.
Güvenlik açıkları iki hafta önce Horizon3 araştırmacıları tarafından keşfedildi ve açıklandı. SimpleHelp, 8.8, 5.4.10 ve 5.3.9 ürün sürümlerinde 8 ve 13 Ocak ayları arasında düzeltmeler yayınladı.
Arctic Wolf şimdi, Horizon3’ün kusurları halka açıklanmasından bir hafta sonra başlayan SimpleHelp sunucularını hedefleyen devam eden bir kampanya hakkında bilgi veriyor.
Güvenlik şirketi, saldırıların bu kusurlardan yararlandığından% 100 emin değil, ancak gözlemlerini Horizon3 raporuna orta güvenle birleştiriyor.
Raporda, “Son zamanlarda açıklanan güvenlik açıklarının gözlemlenen kampanyadan sorumlu olduğu doğrulanmasa da, Arktik Kurt, mümkün olduğunca SimpleHelp sunucu yazılımının en son mevcut sabit sürümlerine yükseltilmesini şiddetle tavsiye ediyor.”
“SimpleHelp istemcisinin daha önce üçüncü taraf destek oturumları için cihazlara yüklendiği ancak günlük operasyonlar için aktif olarak kullanılmadığı durumlarda, Arctic Wolf, potansiyel saldırı yüzeyini azaltmak için yazılımı kaldırmanızı önerir.”
Tehdit İzleme Platformu Shadowserver Foundation, çoğu (345) ABD’de bulunan 580 savunmasız örnek gördüklerini bildirdi.
Vahşi Saldırılar
Artic Wolf, SimpleHelp ‘Remote Access.exe’ işleminin saldırıdan önce arka planda zaten çalıştığını ve bu da SimpleHelp’in cihazlarda uzaktan destek oturumları için daha önce kurulduğunu gösteriyor.
İlk uzlaşma işareti, hedef cihazdaki onaylanmamış bir SimpleHelp sunucusuyla iletişim kuran SimpleHelp istemcisi idi.
Bu, saldırganın, müşterinin kontrolünü ele geçirmek için SimpleHelp’deki kusurları sömüren veya bağlantıyı kaçırmak için çalıntı kimlik bilgilerini kullanarak mümkündür.
İçeri girdikten sonra, saldırganlar, kullanıcı hesapları, gruplar, paylaşılan kaynaklar ve alan denetleyicileri listesi ve Test Active Directory’nin bağlantısını içeren sistem hakkında istihbarat toplamak için ‘net’ ve ‘nlTest’ gibi komutları çalıştırdı.
Bunlar ayrıcalık yükseltme ve yanal hareket yapmadan önce yaygın adımlardır. Ancak Arctic Wolf, kötü niyetli oturumun tehdit oyuncusunun ne yapacağı belirlenmeden önce kesildiğini söyledi.
SimpleHelp kullanıcılarının CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 kusurlarını ele alan en son sürüme yükseltilmesi önerilir.
Güvenlik güncellemelerinin nasıl uygulanacağı hakkında daha fazla bilgi ve yamanın SimpleHelp’in bülteninde mevcut olduğunu doğrulamak.
SimpleHelp istemcileri geçmişte uzaktan destek oturumlarını karşılamak için kurulmuşsa, ancak artık ihtiyaç duyulmazsa, saldırı yüzeyini ortadan kaldırmak için sistemlerden kaldırılması en iyisi olacaktır.