Manoma, kad įsilaužėliai išnaudoja neseniai fiksuotą „SimpleHelp“ nuotolinio nuotolinio stebėjimo ir valdymo (RMM) programinės įrangos pažeidžiamumą, kad gautumėte pradinę prieigą prie tikslinių tinklų.
Trūkumai, stebimi kaip CVE-2024-57726, CVE-2024-57727 ir CVE-2024-57728, leiskite grėsmės veikėjams atsisiųsti ir įkelti failus į įrenginius ir eskaluoti privilegijas administraciniams lygiams.
Pažeidžiamumus prieš dvi savaites aptiko ir atskleidė „Horizon3“ tyrėjai. „SimpleHelp“ išleido pataisas nuo sausio 8 iki 13 dienos produktų versijose 5.5.8, 5.4.10 ir 5.3.9.
„Arctic Wolf“ dabar praneša apie vykstančias kampanijos, skirtos „SimpleHelp“ serveriams, kurie prasidėjo maždaug savaitę po „Horizon3“ viešo trūkumų atskleidimo.
Saugumo įmonė nėra visiškai tikra, kad atakos panaudoja šias trūkumus, tačiau savo pastebėjimus susieja su „Horizon3“ ataskaita su vidutiniu pasitikėjimu.
„Nors nepatvirtinta, kad neseniai atskleisti pažeidžiamumai yra atsakingi už stebėtą kampaniją,„ Arctic Wolf “labai rekomenduoja atnaujinti į naujausias fiksuotas„ SimpleHelp Server “programinės įrangos versijas, kur įmanoma“, – rašoma ataskaitoje.
„Tais atvejais, kai„ SimpleHelp “klientas anksčiau buvo įdiegtas į įrenginius trečiųjų šalių palaikymo sesijoms, tačiau jis nėra aktyviai naudojamas kasdienėms operacijoms,„ Arctic Wolf “rekomenduoja pašalinti programinę įrangą, kad sumažintų galimą atakos paviršių.”
Grėsmės stebėjimo platformos „Shadowserver“ fondas pranešė, kad jie mato 580 pažeidžiamų atvejų, atskleidžiamų internete, daugumoje (345), esančių JAV.
Puolimai gamtoje
„Artic Wolf“ praneša, kad „SimpleHelp“ nuotolinė prieiga.exe “procesas jau buvo vykdomas prieš ataką, nurodant, kad„ SimpleHelp “anksčiau buvo įdiegta nuotolinių palaikymo sesijoms įrenginiuose.
Pirmasis kompromiso ženklas buvo „SimpleHelp“ klientas tiksliniame įrenginyje, bendraujame su nepatvirtintu „SimpleHelp“ serveriu.
Tai įmanoma arba užpuolikas, išnaudodamas „SimpleHelp“ trūkumus, kad būtų galima valdyti klientą arba naudoti pavogtus kredencialus, kad užgrobtų ryšį.
Patekę į vidų, užpuolikai vadovavo CMD.EXE komandoms, tokioms kaip „Net“ ir „NLTest“, norėdami surinkti intelektą apie sistemą, įskaitant vartotojo abonementų, grupių, bendrų išteklių ir domenų valdiklių sąrašą ir išbandyti „Active Directory“ ryšį.
Tai yra įprasti žingsniai prieš atliekant privilegijų eskalavimą ir šoninį judėjimą. Tačiau „Arctic Wolf“ sako, kad kenkėjiška sesija buvo nutraukta, kol buvo galima nustatyti, ką grėsmės aktorius padarys toliau.
„SimpleHelp“ vartotojams rekomenduojama atnaujinti naujausią versiją, kurioje kalbama apie CVE-2024-57726, CVE-2024-57727 ir CVE-2024-57728 trūkumus.
Daugiau informacijos apie tai, kaip pritaikyti saugos atnaujinimus ir patikrinti pleistrą, galite rasti „SimpleHelp“ biuletenyje.
Jei praeityje būtų sumontuoti „SimpleHelp“ klientai, kad būtų galima pritaikyti nuotolinių palaikymo sesijas, tačiau jų nebereikia, būtų geriausia, kad jie būtų pašalinti iš sistemų, kad pašalintų atakos paviršių.
