Saldırganlar, sağlık kuruluşlarına ilk erişim elde etmek için SimpleHelp uzaktan izleme ve yönetim çözümünde güvenlik açıklarından yararlanmış olabilir.
Güvenlik açıkları hakkında
13 Ocak 2025’te Horizon3.i araştırmacıları, SimpleHelp’in sunucu bileşenini etkileyen üç güvenlik açıkını keşfettiklerini açıkladılar ve bu da saldırganların şunları sağlayacaktır:
- SimpleHelp sunucusundan dosyaları indirin (örneğin, günlük ve yapılandırma dosyaları)
- Yapılandırma dosyalarından sunucuya doğrulamak, ayrıcalıklarını yöneticiye yükseltmek ve dosyaları yüklemek, komutları yürütmek ve hatta SimpleHelp İstemci Destek Uygulamasıyla Uzak Makinelere erişmek için Access kimlik bilgilerini kullanın (“Katılımsız Erişim” seçeneği AÇIK AÇIKLARI AÇIK AÇIKLI İSTEME AÇIKLI İSTEĞE) .
Araştırmacılar, kusurların “tersine çevirmek ve sömürmek için önemsiz” olduğunu söyledi.
SimpleHelp sunucu paketinin hemen yamaları ve sabit bir sürümünü oluşturan SimpleHelp geliştiricilerini bilgilendirdiler ve müşterilere sömürü riskinin nasıl en aza indirileceği konusunda tavsiyelerde bulundular.
Tespit edilen saldırı
Arctic Wolf araştırmacıları geçen hafta 22 Ocak 2025’te “ilk erişim vektörü olarak SimpleHelp RMM yazılımını çalıştıran cihazlara yetkisiz erişim içeren bir kampanya gözlemlemeye başladıklarını” paylaştı.
SimpleHelp’s Uzaktan Access.exe Üçüncü taraf bir satıcıdan önceki bir destek oturumu nedeniyle süreç zaten bu cihazlarda arka planda çalışıyorlardı.
“İlk uzlaşma belirtileri, [SimpleHelp] İstemci işlemi onaylanmamış SimpleHelp sunucu örneğine. Tehdit faaliyeti, bir cmd.exe Bir SimpleHelp oturumu aracılığıyla başlatılan işlem, gibi araçlar kullanarak açık Ve nltest. Tehdit aktörlerinin, saldırı daha da ilerlemeden önce oturum feshedildiği için hedefler üzerinde hareket ettikleri gözlemlendi ”diye ekledi.
Arctic Wolf Labs ekibi yardım net güvenliğine, SimpleHelp sunucusu şirket dışı olduğu ve bu görünürlüklerini sınırladığı için güvenlik açıklarının kullanılıp kullanılmadığını tam olarak teyit edemediklerini söyledi.
Olası kurbanlar
Arctic Wolf üçüncü taraf satıcısının kimliğini açıklayamasa da, satıcının müşterilere SimpleHelp’i etkileyen bir kampanya hakkında bilgi verdiğini ve birkaç özel uzlaşma göstergesini (IOCS) paylaştığını söylediler.
Sağlık kuruluşlarının teşhis görüntülemesini yüklemek, depolamak ve değiştirmek için kullandıkları bir platform/hizmet sağlık kuruluşu olan Inteleshare (eski adıyla Ambra Image Exchange) için paylaşılan bilgiler, kurbanlara işaret ediyor olabilir.
“SimpleHelp’te (sürüm 5.5.7 ve önceki sürüm), birçok Inteleshare istemcisini desteklemek için kullanılan bir uzaktan destek ve masaüstü yönetim yazılımı olan SimpleHelp (sürüm 5.5.7 ve önceki) hakkında sizi bilgilendirmek istiyoruz” dedi. 21 ve müşterilere güvenlik ekibini bilinen IOC’leri içeren bir bilgi makalesi okumalarını ve sistemlerini kontrol etmelerini tavsiye etti.
Bir gün sonra, “Sistemlerinizde mevcut olan herhangi bir IOC’yi fark ederseniz, önerimiz güvenlik ekibinize cihaz izolasyonu ile ilgili derhal danışmaktır” dedi.
Dün son bir güncelleme geldi. “Müşterimizin Inteleshare ortamlarının ek güvenlik izlemesini konuşlandırdık. Potansiyel bir uzlaşmanın potansiyel bir göstergesi olduğuna inandığımız SimpleHelp güvenlik açığı ile ilgili herhangi bir etkinliği tespit edersek, hemen sizinle iletişime geçeceğiz ”dedi.
“Ekibiniz bir uzlaşma tespit ediyorsa, lütfen IntelerAD hizmet portalı üzerinden IntelerAD desteğini hemen bilgilendirin. Ayrıca, ileride herhangi bir Intelerad ürünlerimizle birlikte SimpleHelp kullanmayacağız. ”
Ne yazık ki, bilgi makalesine kayıtlı olmayan kullanıcılar için erişilemez, ancak bildirimlerin zaman çizelgesi ve “yapılandırma dosya doğrulaması” talimatlarından bahsedilmesi, Horizon3.i araştırmacıları tarafından keşfedilen bir veya daha fazla güvenlik açığının potansiyel kullanımı anlamına gelir.
Desteklenen kaç kuruluşun nihayetinde saldırganlar tarafından vurulduğu bilinmiyor.
Yardım Net Security daha fazla bilgi için Intelerad’a ulaştı ve daha fazla bilgi sahibi olduğumuzda bu makaleyi güncelleyeceğiz.