Siber güvenlik profesyonelleri ve iş liderleri, yaygın olarak kullanılan SimpleHelp uzaktan izleme ve yönetim (RMM) platformunda eşleştirilmemiş güvenlik açıkları için izlenen bir hizmet faturalandırma yazılımı sağlayıcısının onaylanmış bir ihlali sonrasında yüksek alarm veriyorlar.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), fidye yazılımı aktörlerinin Ocak 2025’ten bu yana bu güvenlik boşluklarından yararlandıkları ve organizasyonları SimpleHelp RMM örnekleri aracılığıyla hedefleyen kritik bir danışma uyarısı yayınladı.
Kampanyanın merkezinde, 5.5.7 ve önceki Simplehelp sürümlerinde bulunan CVE-2024-57727 olan ciddi bir yol geçirme güvenlik açığı, CVE-2024-57727’nin sömürülmesi bulunmaktadır.
.png
)
Zayıflık, saldırganların hedeflenen web kökü dışındaki dosyalara veya dizinlere erişmesine, potansiyel olarak hassas verileri ortaya çıkarmasına veya daha fazla ağ uzlaşmasına izin vermesine olanak tanır.
Bu senaryoda, kötü niyetli aktörler, aşağı akış müşterilerin sistemlerine erişim elde etmek için kusurdan yararlandı, sonuçta hizmetleri bozdu ve hem veri hırsızlığı hem de şifrelemenin kurbanları ödemeye zorlamak için kullanıldığı çifte gasp fidye saldırıları yürüttü.
CISA, 13 Şubat 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2024-57727’yi hızla ekledi ve etkilenen tüm tarafları derhal harekete geçirmeye çağırdı.
Teknik yanıt ve azaltma stratejileri
CISA’nın danışmanlığı, SimpleHelp RMM’yi kullanan kuruluşlar için bir dizi acil teknik hafifletmeyi özetliyor:
- Savunmasız sistemleri tanımlayın:
Kuruluşlar, dosyanın üst kısmındaki SimpleHelp sunucularının sürümünü kontrol etmeye yönlendirilir/SimpleHelp/configuration/serverconfig.xml. Sürüm 5.5.7 veya daha önceki ise, sistem savunmasızdır. - İzole ve yükseltme:
Savunmasız sunucular internetten izole edilmeli veya hizmet süreci tamamen durdurulmalıdır. Satıcının güvenlik danışmanlığına göre en son SimpleHelp sürümüne hemen yükseltme kritiktir. - Uç nokta kontrolleri:
Son kullanıcılar, uç noktaların savunmasız uzaktan erişim hizmetini (RAS) çalıştırıp çalıştırmadığını belirlemelidir. Windows’ta kontrol edin%APPDATA%\JWrapper-Remote Access; Linux’ta,/opt/JWrapper-Remote Access; Ve macos’ta,/Library/Application Support/JWrapper-Remote Access.
.serviceconfig.xmlBu dizinlerindeki dosya kayıtlı sunucu adreslerini ortaya çıkarır. - Sürekli İzleme:
Patalanmamış sistemlerin doğrulanması, anormal gelen veya giden trafik için uzlaşma ve sürekli izleme kanıtı için tehdit avını tetiklemelidir.
CISA ayrıca kuruluşların Ocak 2025’ten sonra oluşturulan üç harfli dosya adlarına (örneğin AAA.EXE, BBB.EXE) şüpheli yürütülebilir ürünler için güvenlik taramaları yapmasını ve kötü amaçlı yazılım yokluğunu doğrulamak için saygın tarama araçları kullanmasını önermektedir.
Proaktif önlemler ve raporlama
Riski daha da azaltmak için CISA, sağlam varlık stoklarının korunmasını, düzenli çevrimdışı yedeklemeler yapmayı ve RDP gibi uzak hizmetlerin gereksiz yere maruz kalmasını en aza indirmeyi önerir.
Kuruluşlar, üçüncü taraf satıcıların, özellikle RMM çözümleriyle ilgili olanların güvenlik kontrollerini incelemeli ve yama yönetimi hakkında bilgi sahibi olmak için açık iletişim hatlarını korumalıdır.
Fidye yazılımı şifrelemesi durumunda, etkilenen sistemler internetten kesilmeli, silinmeli ve temiz ortam ve yedeklemelerden geri yüklenmelidir.
CISA ve FBI, günlükler, fidye notları ve uzlaşma göstergeleri de dahil olmak üzere olabildiğince fazla ayrıntı sağlayarak fidye yazılımı olaylarının hızlı bir şekilde raporlanmasını şiddetle teşvik eder.
CISA ve FBI, ödemenin fidye ödemesine karşı uyarılarını yineliyor ve ödemenin saldırganları güçlendirebileceğini ve dosya kurtarmayı garanti etmediğini vurguluyor.
Mağdurlar, CISA’nın olay raporlama kanalları aracılığıyla veya doğrudan SimpleHelp desteğiyle iletişim kurarak yardım almaya teşvik edilir.
Bu olay, açılmamış yazılımın devam ettiği tehdidi ve zamanında güncellemelerin, sağlam izleme ve kritik altyapıyı hedefleyen giderek daha karmaşık fidye yazılımı kampanyalarına karşı proaktif savunmanın kritik önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin