Araştırmacılar, yaygın olarak kullanılan bir uzaktan destek yazılımı olan SimpleHelp’te, saldırganların sunucuları ve istemci makinelerini tehlikeye atmasına olanak verebilecek üç kritik güvenlik açığını ortaya çıkardı.
CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726 olarak tanımlanan bu kusurlar, yetkisiz dosya erişimi, ayrıcalık yükseltme ve uzaktan kod yürütme gibi ciddi riskler oluşturur.
SimpleHelp, bu sorunları çözmek için yamalar yayınladı ve kullanıcıların sistemlerini derhal 5.5.8, 5.4.10 veya 5.3.9 sürümlerine güncellemelerini istiyor.
SimpleHelp Uzaktan Destek Yazılımındaki Güvenlik Açıkları
CVE-2024-57727: Kimliği Doğrulanmamış Yol Geçişi
- Bu güvenlik açığı, kimliği doğrulanmamış saldırganların SimpleHelp sunucusundan rastgele dosyalar indirmesine olanak tanır. Karma hale getirilmiş yönetici parolaları, LDAP kimlik bilgileri, API anahtarları ve çok faktörlü kimlik doğrulama (MFA) tohumları gibi hassas veriler,
serverconfig.xmldosyaya ulaşılabilir. - Bu kusur özellikle kritiktir çünkü şifrelenmiş yapılandırma dosyaları sabit kodlanmış anahtarlar kullanır ve bu da saldırganların hassas bilgilerin şifresini çözmesini kolaylaştırır.
CVE-2024-57728: Uzaktan Kod Yürütülmesine Yol Açan Rastgele Dosya Yükleme
- Yönetici ayrıcalıklarına sahip saldırganlar veya ayrıcalık yükseltmeden yararlananlar (bkz. CVE-2024-57726) sunucu ana bilgisayarındaki herhangi bir konuma dosya yükleyebilir. Örneğin:
- Linux sunucularında kötü amaçlı cron işleri uzak komutları çalıştırabilir.
- Windows sunucularında, uzaktan kod yürütülmesini sağlamak için yürütülebilir dosyaların veya kitaplıkların üzerine yazılabilir.
- Saldırgan bu güvenlik açığını ters kabuk veya diğer kötü amaçlı yükleri dağıtmak için kullanabilir.
CVE-2024-57726: Ayrıcalık Yükseltmesi
- Belirli yönetim işlevlerindeki eksik arka uç yetkilendirme kontrolleri nedeniyle, düşük ayrıcalıklı teknisyen hesapları, belirli ağ çağrıları hazırlayarak ayrıcalıklarını yönetici statüsüne yükseltebilir.
- Saldırganlar, üst seviyeye iletildikten sonra SimpleHelp sunucusunun güvenliğini tamamen tehlikeye atmak için CVE-2024-57728’den yararlanabilir.
Potansiyel Etki
Bu güvenlik açıklarından yararlanılması durumunda saldırganların şunları yapmasına olanak tanınabilir:
- SimpleHelp sunucularının kontrolünü elinize alın.
- Sunucuda depolanan hassas müşteri verilerine erişin.
- SimpleHelp’in uzaktan erişim özellikleri aracılığıyla bağlanan istemci makinelerinin güvenliğini tehlikeye atın.
- Güvenliği ihlal edilmiş SimpleHelp kurulumlarını kullanarak fidye yazılımlarını veya diğer kötü amaçlı yazılımları ağlara dağıtın.
Güvenlik açıklarının “tersine çevrilmesi ve kullanılması önemsiz” olarak tanımlanması, siber suçlular veya ulus devlet aktörleri tarafından potansiyel suiistimallere ilişkin endişeleri artırıyor.
SimpleHelp’in 5.5.8, 5.4.10 veya 5.3.9’dan önceki sürümleri güvenlik açığına sahiptir. SimpleHelp sunucusunun sürümü, sunucuya erişilerek belirlenebilir. /allversions uç nokta veya HTTP Sunucusu başlığının incelenmesi.
SimpleHelp, güvenlik açıklarını gidermek için yamalar yayınladı; kuruluşların yakın zamanda yamaları uygulamaları önerilir.
Bu riskleri azaltmak için:
- Hemen Güncelle: 5.5.8 sürümüne (veya daha eski dallar için eşdeğer yamalara) yükseltme yapın.
- Kimlik Bilgilerini Değiştir: Yönetici ve teknisyen hesabı şifrelerini dönüşümlü olarak kullanın.
- Erişimi Kısıtla: SimpleHelp sunucusunun yönetici arayüzüne erişmesine izin verilen IP adreslerini sınırlayın.
- MFA’yı etkinleştir: Tüm hesaplar için çok faktörlü kimlik doğrulamanın etkinleştirildiğinden emin olun.
Horizon3.ai araştırmacıları güvenlik açıklarını keşfetti ve bunları sorumlu bir şekilde 6 Ocak 2025’te SimpleHelp’e açıkladı. Yamalar bir hafta içinde (5.3.x ve 5.4.x sürümleri için 8 Ocak’ta ve 5.5.x sürümü için 13 Ocak’ta) yayınlandı. Satıcıdan hızlı yanıt.
Tehdit aktörleri, ağlar arasında kalıcı erişim sağlama yetenekleri nedeniyle sıklıkla SimpleHelp gibi uzaktan destek araçlarını hedef alıyor. Geçmişte benzer araçlar, İran’ın MuddyWater gibi gruplar tarafından casusluk kampanyaları için ve fidye yazılımı operatörleri tarafından tehlikeye atılmış ortamlarda yanal hareket için kötüye kullanıldı.
Bu güvenlik açıklarının aktif olarak kullanıldığına dair henüz bir kanıt olmasa da tarih, teknik ayrıntılar kamuya açıklandığında yama yapılmamış sistemlerin siber suçluların hedefi olabileceğini gösteriyor.
Bu kritik güvenlik açıklarının açığa çıkması, uzaktan erişim araçlarının yoğun olarak kullanıldığı ortamlarda yazılımların güncel tutulmasının önemini vurgulamaktadır. SimpleHelp’e güvenen kuruluşlar, sistemlerine yama uygulamak ve potansiyel istismar risklerini azaltmak için ek güvenlik önlemleri uygulamak için derhal harekete geçmelidir.
Bu güvenlik açıklarının giderilmemesi, veri ihlalleri, operasyonel kesintiler ve fidye yazılımı saldırıları nedeniyle mali kayıplar veya siber güvenlik standartlarına uyulmamasından kaynaklanan düzenleyici cezalar gibi ciddi sonuçlara yol açabilir.
Yaygın olarak kullanılan iki platformdaki kritik sıfır gün güvenlik açıklarının istismar edildiği 2024 yılı, uzaktan destek ve erişim yazılımıyla ilişkili önemli risklerin altını çizdi: ConnectWise ScreenConnect ve BeyondTrust Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS).
Bu güvenlik açıklarından (CVE-2024-1708, CVE-2024-1709, CVE-2024-12356 ve CVE-2024-12686) aktif olarak yararlanıldı ve daha sonra ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Bilinen İstismar Edilenler listesine eklendi. Ciddi etkileri nedeniyle güvenlik açıkları (KEV) kataloğu.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free