Se supone que los piratas explotan vulnerabilidades de vigilancia y software de gestión remota (RMM) de vigilancia y gestión (RMM) para obtener acceso inicial a las redes de destino.
Los defectos, seguidos en CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728, permiten a las partes interesadas de amenazas descargar y descargar archivos en dispositivos y subir privilegios a niveles administrativos.
Se han descubierto vulnerabilidades y Revelado por Horizon3 Investigadores hace dos semanas. SimpleHelp se publicó entre el 8 y el 13 de enero en las versiones del producto 5.5.8, 5.4.10 y 5.3.9.
Arctic Wolf ahora informa una campaña en progreso dirigida a los servidores SimpleHelp que comenzaron aproximadamente una semana después de la divulgación pública de las fallas de Horizon3.
La compañía de seguridad no está 100% segura de que los ataques exploten estas fallas, pero vincula sus observaciones con el informe Horizon3 con confianza promedio.
“Aunque no se confirma que las vulnerabilidades divulgadas recientemente son responsables de la campaña observada, el Arctic Wolf recomienda encarecidamente ir a las últimas versiones fijas disponibles del software SimpleHelp Server en la medida de lo posible”, “,”, “,”, “,”, “,”, “. Lee el informe.
“En situaciones en las que el cliente SimpleHelp ya se ha instalado en dispositivos para sesiones de soporte de tercera parte, pero no se usa activamente para operaciones diarias, Arctic Wolf recomienda desinstalar el software para reducir la superficie de ataque potencial”.
La plataforma de monitoreo de amenazas de la Fundación Shadowserver informó que vieron 580 instancias vulnerables expuestas en línea, la mayoría de ellas (345) ubicadas en los Estados Unidos.
Ataques en la naturaleza
Artic Wolf informa que el proceso SimpleHelp ‘Access Remote.exe’ ya se llevó a cabo en segundo plano antes del ataque, lo que indica que SimpleHelp se instaló previamente para sesiones de soporte remoto en los dispositivos.
El primer signo de compromiso fue el cliente SimpleHelp en el dispositivo de destino que se comunicaba con un servidor simple no preparado.
Esto es posible por los defectos operativos del atacante en SimpleHelp para tomar el control del cliente o usar información de identificación robada para desviar la conexión.
Una vez dentro, los atacantes han ejecutado comandos CMD.EXE como “neto” y “nltest” para recopilar información sobre el sistema, incluida una lista de cuentas de usuarios, grupos, recursos compartidos y controladores de dominio, y probar la conectividad de Active Directory.
Estas son etapas comunes antes de escalar privilegios y el movimiento lateral. Sin embargo, el lobo del Ártico dice que la sesión maliciosa se cortó antes de poder determinar qué haría el actor de amenaza.
Se recomienda que los usuarios de SimpleHelp vayan a la última versión que aborda los defectos CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728.
Más información sobre cómo aplicar actualizaciones de seguridad y verificar que la solución esté disponible en Boletín SimpleHelp.
Si los clientes de SimpleHelp se instalaron en el pasado para acomodar sesiones de soporte remoto pero ya no son necesarios, sería preferible que no estén instalados de los sistemas para eliminar la superficie de ataque.