Suçlular, PC'lere ve ağlara nüfuz etmek için SimpleHelp RMM uzaktan bakım yazılımındaki güvenlik boşluklarını kötüye kullanır. BT güvenlik araştırmacıları, cihazların başlangıçta bu güvenlik açıkları tarafından saldırıya uğradığı bir kampanya gözlemledi.
Duyuru
Bir blog yazısında, Arch Wolf çalışanları, bu kampanyanın keşfinden neredeyse bir hafta önce Horizon3 BT araştırmacıları SimpleHelp RMM'de üç güvenlik boşluğunu izlediğini ve bilgileri yayınladığını yazıyor. Üç güvenlik boşluğu vardır. En ciddi olanı, ayrıcalıklı teknisyene düşük erişimden sunucu yöneticisine (CVE-2024-57726, CVSS 9.9Risk “eleştirmen“).
Simplehelp RMM'de üç güvenlik boşluğu
Buna ek olarak, saldırganlar, Boşlukların Üçlüsü'nden en kötü güvenlik boşluğu olarak Horizon3.i sıralaması olmayan bir önleyici kayıt olmadan SimpleHelp sunucusundan herhangi bir dosyayı indirebilir, ancak CVSS sınıflandırması bunu yansıtmaz (CVE-2024-57727, CVSS 7.5,, yüksek). Üçüncü güvenlik açığı, yönetici erişimin (örneğin basit bir pan olarak veya yönetim haklarına sahip teknik olarak) mümkün olması koşuluyla SimpleHelp sunucusundaki tüm yerlerde dosyaların yüklenmesine izin verir. Linux altında, malign aktörler bir CRURTAB dosyası yükleyerek kontroller yapabilir (CVE-2024-57728, CVSS 7.2,, yüksek).
SimpleHelp-TRM 5.3.9, 5.4.10 ve 5.5.8 sürümleri bu güvenlik boşluklarıdır. BT yöneticileri henüz yapılmamışsa mümkün olduğunca çabuk güncellenmelidir.
Arctic Wolf'un analiz ettiği çöküşte, “Remote Access.exe”, SimpleHelp tarafından üçüncü bir taraf destek oturumu nedeniyle zaten çalışıyordu. İlk uzlaşma işareti olarak, BM onaylı SimpleHelp sunucu isteği ile iletişim kurabildiler. SimpleHelp oturumunda, saldırganlar bir komut satırı açtı (“cmd.exe”) ve hesapları ve alan adındaki bilgileri, örneğin “net” ve “nlTest” -Tools ile kapattı. fabrika ve aynı zamanda yararlı hizmetçilerdir (arazinin yaşamı, LOTL). Ancak, saldırganların amaçları bilinmemektedir, çünkü oturum saldırılarına rehberlik etmeden önce sona erdi.
Artic Wolf, SimpleHelp-Slient yazılımının geçici destek oturumlarıyla kaldırılmasını, SimpleHelp sunucusundaki şifreleri değiştirmenizi ve güvenilir IP'ye erişimi sınırlandırmanızı ve elbette mevcut güvenlik güncellemelerini yükleyerek önerir.
(DMK)
Duyuru
Bir blog yazısında, Arch Wolf çalışanları, bu kampanyanın keşfinden neredeyse bir hafta önce Horizon3 BT araştırmacıları SimpleHelp RMM'de üç güvenlik boşluğunu izlediğini ve bilgileri yayınladığını yazıyor. Üç güvenlik boşluğu vardır. En ciddi olanı, ayrıcalıklı teknisyene düşük erişimden sunucu yöneticisine (CVE-2024-57726, CVSS 9.9Risk “eleştirmen“).
Simplehelp RMM'de üç güvenlik boşluğu
Buna ek olarak, saldırganlar, Boşlukların Üçlüsü'nden en kötü güvenlik boşluğu olarak Horizon3.i sıralaması olmayan bir önleyici kayıt olmadan SimpleHelp sunucusundan herhangi bir dosyayı indirebilir, ancak CVSS sınıflandırması bunu yansıtmaz (CVE-2024-57727, CVSS 7.5,, yüksek). Üçüncü güvenlik açığı, yönetici erişimin (örneğin basit bir pan olarak veya yönetim haklarına sahip teknik olarak) mümkün olması koşuluyla SimpleHelp sunucusundaki tüm yerlerde dosyaların yüklenmesine izin verir. Linux altında, malign aktörler bir CRURTAB dosyası yükleyerek kontroller yapabilir (CVE-2024-57728, CVSS 7.2,, yüksek).
SimpleHelp-TRM 5.3.9, 5.4.10 ve 5.5.8 sürümleri bu güvenlik boşluklarıdır. BT yöneticileri henüz yapılmamışsa mümkün olduğunca çabuk güncellenmelidir.
Arctic Wolf'un analiz ettiği çöküşte, “Remote Access.exe”, SimpleHelp tarafından üçüncü bir taraf destek oturumu nedeniyle zaten çalışıyordu. İlk uzlaşma işareti olarak, BM onaylı SimpleHelp sunucu isteği ile iletişim kurabildiler. SimpleHelp oturumunda, saldırganlar bir komut satırı açtı (“cmd.exe”) ve hesapları ve alan adındaki bilgileri, örneğin “net” ve “nlTest” -Tools ile kapattı. fabrika ve aynı zamanda yararlı hizmetçilerdir (arazinin yaşamı, LOTL). Ancak, saldırganların amaçları bilinmemektedir, çünkü oturum saldırılarına rehberlik etmeden önce sona erdi.
Artic Wolf, SimpleHelp-Slient yazılımının geçici destek oturumlarıyla kaldırılmasını, SimpleHelp sunucusundaki şifreleri değiştirmenizi ve güvenilir IP'ye erişimi sınırlandırmanızı ve elbette mevcut güvenlik güncellemelerini yükleyerek önerir.
(DMK)