Ako ste organizacija koja koristi SimpleHelp za potrebe vaše daljinske IT podrške/pristupa, trebali biste ažurirati ili zakrpiti instalaciju vašeg servera bez odlaganja, da popravite sigurnosne propuste koje mogu iskoristiti udaljeni napadači za izvršavanje koda na osnovnom hostu.
Ranjivosti
SimpleHelp je relativno popularan softver za daljinsku podršku/pristup koji također povremeno koriste sajber napadači.
Rešenje uglavnom koriste firme za tehničke usluge i IT help desk i timovi za tehničku podršku organizacija. Koristi Java runtime okruženje za pokretanje svojih serverskih i klijentskih komponenti i stoga se može pokrenuti na Windows, macOS ili Linux mašinama.
Istraživači Horizon3.ai nedavno su ispitali softver za sigurnosne slabosti i otkrili tri ranjivosti:
- CVE-2024-57727 , ranjivost neovlaštenog prelaska putanje koja bi mogla omogućiti napadačima da preuzmu proizvoljne datoteke sa SimpleHelp servera, uključujući evidencije i konfiguracijske tajne (šifrirane tvrdo kodiranim ključem)
- CVE-2024-57728 , greška u arbitrarnom otpremanju datoteka koju bi mogli iskoristiti autentifikovani napadači (npr. korištenjem krendicijala administratora prikupljenih preuzimanjem konfiguracijskih datoteka) za učitavanje proizvoljnih datoteka na mašinu na kojoj je instaliran SimpleHelp server ili čak za interakciju sa udaljenim mašinama ili pristup njima ako uključena je opcija „pristup bez nadzora“. “Za Linux servere, napadač bi mogao iskoristiti ovu ranjivost da učita crontab fajl za izvršavanje daljinskih komandi. Za Windows servere, napadač bi mogao da prepiše izvršne datoteke ili biblioteke koje SimpleHelp koristi da bi došao do daljinskog izvršavanja koda“, objasnili su istraživači.
- CVE-2024-57726 , ranjivost koja proizilazi iz propuštanja provjera autorizacije za određene funkcije administratora, napadači mogu iskoristiti da podignu svoje privilegije na administratora i, na primjer, iskoriste CVE-2024-57728 za preuzimanje servera.
Shodan pretraga je otkrila skoro 3.500 SimpleHelp servera okrenutih prema Internetu, primijetili su istraživači, ali nije poznato koliko ih je još nezakrpljeno.
SimpleHelp serveri okrenuti prema Internetu (Izvor: Horizon3.ai)
Ažurirajte ili zakrpite i promijenite lozinke
Istraživači su se za sada uzdržali od objavljivanja dodatnih tehničkih detalja, ali kažu da je nedostatke trivijalno poništiti i iskoristiti, a korisnici bi trebali nadograditi na fiksnu verziju (5.5.8) ili primijeniti zakrpu na v5.4.10 ili 5.3.9 kao što je pre moguće.
„Iako ne znamo za bilo kakve eksploatacije ove ranjivosti, moguće je da bi konfiguraciona datoteka servera mogla biti otkrivena,“ rekla je kompanija koja razvija softver .
Imajući to na umu, takođe su savjetovali organizacijama da:
- Promijenite administratorsku lozinku servera SimpleHelp
- Promijenite lozinke za Technician accounts (gdje je to moguće)
- Ograničite IP adrese sa kojih SimpleHelp server može očekivati prijave Technician i Administrator (gdje je to moguće).
Izvor:Help Net Security