Siber güvenlik araştırmacıları, SimpleHelp uzaktan erişim yazılımında bilgilerin açığa çıkmasına, ayrıcalık artışına ve uzaktan kod yürütülmesine yol açabilecek çok sayıda güvenlik açığını ortaya çıkardı.
Horizon3.ai araştırmacısı Naveen Sunkavally, bulguları detaylandıran teknik bir raporda, “zafiyetlerin tersine çevrilmesi ve istismar edilmesi önemsizdir” dedi.
Tanımlanan kusurların listesi aşağıdaki gibidir:
- CVE-2024-57727 – Bir saldırganın, SimpleHelpAdmin hesabı ve diğer yerel teknisyen hesapları için karma parolalar içeren serverconfig.xml dosyası da dahil olmak üzere SimpleHelp sunucusundan rastgele dosyalar indirmesine olanak tanıyan, kimliği doğrulanmamış bir yol geçişi güvenlik açığı
- CVE-2024-57728 – SimpleHelpAdmin ayrıcalıklarına sahip bir saldırganın (veya yönetici ayrıcalıklarına sahip bir teknisyen olarak), SimpleServer ana bilgisayarının herhangi bir yerine rastgele dosyalar yüklemesine olanak tanıyan ve potansiyel olarak uzaktan kod yürütülmesine yol açan rastgele bir dosya yükleme güvenlik açığı
- CVE-2024-57726 – Düşük ayrıcalıklı bir teknisyen olarak erişim kazanan bir saldırganın, arka uç yetkilendirme kontrollerinin eksik olmasından yararlanarak ayrıcalıklarını bir yöneticiye yükseltmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı
Varsayımsal bir saldırı senaryosunda, CVE-2024-57726 ve CVE-2024-57728, kötü bir aktör tarafından zincirlenerek yönetici kullanıcı haline gelebilir ve SimpleHelp sunucusunun kontrolünü ele geçirmek için rastgele veriler yüklenebilir.
Horizon3.ai, kritiklikleri ve silahlanma kolaylığı göz önüne alındığında, üç güvenlik açığıyla ilgili ek teknik ayrıntıları gizlediğini söyledi. 6 Ocak 2025’teki sorumlu açıklamanın ardından kusurlar, 8 ve 13 Ocak’ta yayınlanan SimpleHelp 5.3.9, 5.4.10 ve 5.5.8 sürümlerinde giderildi.
Tehdit aktörlerinin hedef ortamlara kalıcı uzaktan erişim sağlamak için uzaktan erişim araçlarından yararlandığı bilindiğinden, kullanıcıların yamaları uygulamak için hızlı hareket etmesi çok önemlidir.
Ayrıca SimpleHelp, kullanıcıların SimpleHelp sunucusunun yönetici şifresini değiştirmesini, Teknisyen hesaplarının şifrelerini değiştirmesini ve SimpleHelp sunucusunun Teknisyen ve yönetici oturum açmalarını bekleyebileceği IP adreslerini kısıtlamasını önermektedir.