Operateri ransomware napada iskorišćavaju ranjivost u SimpleHelp softveru u napadima usmjerenim na korisnike jednog provajdera softvera za naplatu komunalnih usluga, upozorava američka agencija za sajber bezbjednost CISA.
Iskorišćena ranjivost, označena kao CVE-2024-57727 (CVSS ocjena 7.5), omogućava napadačima da dobiju osjetljive informacije poput kredencijala i API ključeva.
Bezbjednosni propust zakrpljen je u januaru zajedno sa još dvije ranjivosti – CVE-2024-57728 i CVE-2024-57726 – koje omogućavaju napadačima da otpreme proizvoljne fajlove i steknu administratorske privilegije.
CISA je u februaru dodala CVE-2024-57727 na svoju listu poznatih iskorišćenih ranjivosti (KEV), nakon što su hakeri primijećeni kako iskorišćavaju ovu grešku za kompromitovanje uređaja na kojima se koristi SimpleHelp softver za daljinsko nadgledanje i upravljanje (RMM).
Krajem maja, kompanija Sophos je upozorila na DragonForce ransomware napad koji je kompromitovao MSP (provajdera upravljanih usluga) i njegove klijente kroz ranjivu SimpleHelp instancu. CISA sada upozorava na sličan incident i poziva na hitno zakrpljivanje softvera.
Prema informacijama CISA-e, kompromitovanje korisnika softvera za naplatu komunalija kroz ranjivu SimpleHelp instancu „odražava širi obrazac djelovanja ransomware hakera koji od januara 2025. ciljaju organizacije koristeći nezakrpljene verzije SimpleHelp RMM softvera“.
„Verzije SimpleHelp-a 5.5.7 i starije sadrže više ranjivosti, uključujući CVE-2024-57727 – ranjivost tipa ‘path traversal’. Ransomware hakeri su vjerovatno koristili CVE-2024-57727 kako bi pristupili nezakrpljenim SimpleHelp RMM sistemima krajnjih korisnika i izazvali prekid usluga kroz dvostruku iznudu,“ navodi CISA.
Dobavljači softvera, njihovi korisnici i krajnji korisnici treba odmah da preduzmu korake kako bi zakrpili svoje SimpleHelp instance i izvršili lov na indikatore kompromitovanja (IoC), ističe agencija.
Treće strane koje koriste SimpleHelp verziju 5.5.7 ili stariju treba odmah da isključe te sisteme, ažuriraju ih na zakrpljene verzije i obavijeste svoje korisnike kako bi zaštitili krajnje tačke.
Korisnici softvera nižeg nivoa treba da utvrde koju verziju SimpleHelp-a koriste, sprovedu aktivnosti otkrivanja prijetnji, isključe ranjive instance, prate neobičan mrežni saobraćaj SimpleHelp servera i primijene dostupne zakrpe.
Krajnji korisnici, navodi CISA, treba da isključe pogođene uređaje, ponovo instaliraju operativni sistem koristeći čistu instalaciju i povrate podatke iz sigurnosne kopije koja nije kompromitovana.
Izvor: SecurityWeek