Uzaktan BT desteği/erişim ihtiyaçlarınız için SimpleHelp kullanan bir kuruluşsanız, uzaktaki saldırganların temeldeki ana makinede kod yürütmek üzere yararlanabileceği güvenlik açıklarını düzeltmek için sunucu kurulumunuzu gecikmeden güncellemeli veya yama yapmalısınız.
SimpleHelp ve güvenlik açıkları hakkında
SimpleHelp, siber saldırganlar tarafından da zaman zaman kullanılan, nispeten popüler bir uzaktan destek/erişim yazılımıdır.
Çözüm çoğunlukla teknik hizmet firmaları ve kuruluşlarının BT yardım masası ve teknik destek ekipleri tarafından kullanılıyor. Sunucu ve istemci bileşenlerini çalıştırmak için Java çalışma zamanı ortamını kullanır ve bu nedenle Windows, macOS veya Linux makinelerinde çalıştırılabilir.
Horizon3.ai araştırmacıları yakın zamanda yazılımı güvenlik zayıflıkları açısından incelediler ve üç güvenlik açığı keşfettiler:
- CVE-2024-57727saldırganların SimpleHelp sunucusundan günlükler ve yapılandırma sırları (sabit kodlanmış bir anahtarla şifrelenmiş) dahil olmak üzere rastgele dosyalar indirmesine olanak tanıyan, kimliği doğrulanmamış bir yol geçişi güvenlik açığı
- CVE-2024-57728Kimliği doğrulanmış saldırganlar tarafından, SimpleHelp sunucusunu çalıştıran makineye rastgele dosyalar yüklemek ve hatta “gözetimsiz erişim” söz konusu olduğunda uzak makinelerle etkileşimde bulunmak/uzak makinelere erişmek için kullanılabilecek rastgele bir dosya yükleme kusuru (örneğin, yapılandırma dosyalarının indirilmesinden elde edilen yönetici kimlik bilgilerinden yararlanılması). seçeneği açıktır. “Linux sunucuları için bir saldırgan, uzak komutları yürütmek amacıyla bir crontab dosyası yüklemek için bu güvenlik açığından yararlanabilir. Araştırmacılar, Windows sunucularında, bir saldırganın uzaktan kod yürütmeye ulaşmak için SimpleHelp tarafından kullanılan yürütülebilir dosyaların veya kitaplıkların üzerine yazabileceğini söyledi.
- CVE-2024-57726Belirli yönetici işlevlerine yönelik yetkilendirme kontrollerinin eksik olmasından kaynaklanan bir güvenlik açığı, saldırganlar tarafından ayrıcalıklarını yönetici konumuna yükseltmek için kötüye kullanılabilir ve örneğin sunucuyu ele geçirmek için CVE-2024-57728’den yararlanılabilir.
Araştırmacılar, Shodan’da yapılan bir aramanın internete bakan yaklaşık 3.500 SimpleHelp sunucusunu ortaya çıkardığını belirtti, ancak bunlardan kaçının hala yama yapılmamış olduğu bilinmiyor.
İnternete bakan SimpleHelp sunucuları (Kaynak: Horizon3.ai)
Şifreleri güncelleyin veya yamalayın ve değiştirin
Araştırmacılar şimdilik ek teknik ayrıntılar yayınlamaktan kaçındı, ancak kusurların tersine çevrilmesi ve yararlanılmasının önemsiz olduğunu ve kullanıcıların sabit bir sürüme (5.5.8) yükseltmeleri veya v5.4.10 veya 5.3.9’a bir yama uygulamaları gerektiğini söylüyorlar. mümkün olan en kısa sürede.
Yazılımı geliştiren şirket, “Bu güvenlik açığından herhangi bir şekilde yararlanıldığını bilmesek de, sunucunun yapılandırma dosyasının açığa çıkması mümkündür” dedi.
Bunu akılda tutarak kuruluşlara şunları da tavsiye ettiler:
- SimpleHelp sunucusunun Yönetici şifresini değiştirin
- Teknisyen hesaplarının şifrelerini değiştirin (mümkünse) ve
- SimpleHelp sunucusunun Teknisyen ve Yönetici oturum açmalarını bekleyebileceği IP adreslerini (mümkünse) kısıtlayın.