Hackerii sunt presupuși că exploatează recentele vulnerabilități rezolvate ale software-ului SimpleHelp Remote Monitoring and Management (RMM) pentru a obține acces inițial la rețelele țintă.
Defectele, identificate ca CVE-2024-57726, CVE-2024-57727 și CVE-2024-57728, permit actorilor de amenințare să descarce și să încarce fișiere pe dispozitive și să escaladeze privilegii la niveluri administrative.
Vulnerabilitățile au fost descoperite și divulgate de cercetătorii de la Horizon3 acum două săptămâni. SimpleHelp a lansat remedieri între 8 și 13 ianuarie în versiunile produsului 5.5.8, 5.4.10 și 5.3.9.
Arctic Wolf raportează acum despre o campanie în desfășurare care vizează serverele SimpleHelp și care a început aproximativ o săptămână după divulgarea publică a deficiențelor de către Horizon3.
Compania de securitate nu este 100% sigură că atacurile folosesc aceste vulnerabilități, dar leagă observațiile sale de raportul Horizon3 cu o încredere medie.
„Deși nu este confirmat că vulnerabilitățile recent divulgate sunt responsabile pentru campania observată, Arctic Wolf recomandă cu fermitate actualizarea la cele mai recente versiuni disponibile corectate ale software-ului serverului SimpleHelp, acolo unde este posibil,” se arată în raport.
„În situațiile în care clientul SimpleHelp a fost anterior instalat pe dispozitive pentru sesiuni de suport de la terți, dar nu este utilizat activ pentru operațiuni de zi cu zi, Arctic Wolf recomandă dezinstalarea software-ului pentru a reduce suprafața potențială de atac.”
Platforma de monitorizare a amenințărilor Shadowserver Foundation raportează că vede 580 de instanțe vulnerabile expuse online, cele mai multe (345) fiind situate în Statele Unite.
Raportul Arctic Wolf arată că procesul ‘Remote Access.exe’ al SimpleHelp era deja în desfășurare în fundal înainte de atac, indicând că SimpleHelp fusese instalat anterior pentru sesiuni de suport la distanță pe dispozitive.
Primul semn al compromiterii a fost clientul SimpleHelp de pe dispozitivul țintă care comunica cu un server SimpleHelp neaprobat.
Acest lucru este posibil fie prin exploatarea deficiențelor din SimpleHelp pentru a prelua controlul clientului, fie prin utilizarea unor credențiale furate pentru a prelua conexiunea.
Odată ce au pătruns înăuntru, atacatorii au rulat comenzi cmd.exe precum ‘net’ și ‘nltest’ pentru a aduna informații despre sistem, inclusiv o listă de conturi de utilizatori, grupuri, resurse partajate și controlere de domeniu, și pentru a testa conectivitatea cu Active Directory.
Acestea sunt pași obișnuiți înainte de a efectua escaladarea privilegiilor și mișcarea laterală. Cu toate acestea, Arctic Wolf spune că sesiunea malefică a fost întreruptă înainte de a se putea determina ce ar fi făcut actorul amenințării în continuare.
Utilizatorilor SimpleHelp li se recomandă să facă upgrade la cea mai recentă versiune care abordează vulnerabilitățile CVE-2024-57726, CVE-2024-57727 și CVE-2024-57728.
Mai multe informații despre modul de aplicare a actualizărilor de securitate și de verificare a patch-ului sunt disponibile în buletinul SimpleHelp.
Dacă clienții SimpleHelp au fost instalați în trecut pentru a permite sesiuni de suport la distanță, dar nu mai sunt necesari, ar fi mai bine să fie dezinstalați din sisteme pentru a elimina suprafața de atac.
SonicWall avertizează cu privire la defectul SMA1000 RCE exploatat în atacuri zero-day
Hackerii exploatează defectul critic de RCE al controlerului Aviatrix în atacuri
Hackerii exploatează defectul routerului Four-Faith pentru a deschide shell-uri inverse
Hackerii exploatează defectul DoS pentru a dezactiva firewall-urile Palo Alto Networks
Defectul critic nou al Apache Struts este exploatat pentru a găsi servere vulnerabile
Leave a Reply