Napadači su možda iskoristili ranjivosti u rješenju za daljinsko praćenje i upravljanje SimpleHelp kako bi dobili početni pristup zdravstvenim organizacijama.
O ranjivostima
13. januara 2025. istraživači Horizon3.ai otkrili su svoje otkriće tri ranjivosti koje utiču na komponentu servera SimpleHelpa, što bi omogućilo napadačima:
- Preuzmite datoteke sa SimpleHelp servera (npr. datoteke dnevnika i konfiguracije)
- Koristite krendicijali za pristup izvučene iz konfiguracijskih datoteka za autentifikaciju na serveru, podignite njihove privilegije na administratora i otpremite datoteke, izvršite naredbe ili čak pristupite udaljenim mašinama s instaliranom aplikacijom za podršku klijenta SimpleHelp (ako je uključena opcija „pristup bez nadzora“) .
Istraživači su rekli da je nedostatke “trivijalno poništiti i iskoristiti”.
Obavijestili su SimpleHelp programere, koji su odmah kreirali zakrpe i fiksnu verziju SimpleHelp serverskog paketa i savjetovali klijente kako da minimiziraju rizik od eksploatacije.
Otkriveni napad
Arctic Wolf istraživači su prošle sedmice podijelili da su 22. januara 2025. „počeli posmatrati kampanju koja uključuje neovlašteni pristup uređajima koji koriste SimpleHelp RMM softver kao početni vektor pristupa“.
SimpleHelp-ov Remote Access.exe proces je već radio u pozadini na tim uređajima, rekli su, zbog prethodne sesije podrške od strane dobavljača treće strane.
„Prvi znaci kompromisa bili su komunikacije od [SimpleHelp] klijentskog procesa do neodobrene instance SimpleHelp servera. Aktivnost prijetnji je takođe uključivala nabrajanje naloga i informacija o domenu kroz cmd.exe proces pokrenut putem SimpleHelp sesije, koristeći alate kao što su net i nltest . Akteri prijetnji nisu uočeni kako djeluju po ciljevima jer je sjednica prekinuta prije nego što je napad dalje napredovao”, dodali su .
Tim Arctic Wolf Labs-a rekao je Help Net Security-u da ne mogu u potpunosti potvrditi da li su ranjivosti iskorišćene jer je SimpleHelp server izvan premisa, a to ograničava njihovu vidljivost.
Moguće žrtve
Iako Arctic Wolf nije mogao otkriti identitet dobavljača treće strane, rekli su da je prodavač obavijestio kupce o kampanji koja utiče na SimpleHelp i podijelio nekoliko specifičnih pokazatelja kompromisa (IOC).
Informacije koje se dijele na stranici sa statusom za InteleShare (ranije Ambra Image Exchange), platformu/uslugu koju zdravstvene organizacije koriste za otpremanje, skladištenje i razmjenu dijagnostičkih slika, mogle bi ipak upućivati na žrtvu(e).
“Željeli bismo da vas obavjestimo o nedavno otkrivenoj bezbjednosnoj ranjivosti u SimpleHelpu (verzija 5.5.7 i ranije), softveru za daljinsku podršku i upravljanje desktopom koji se koristi za podršku mnogim InteleShare klijentima”, izjavila je Intelerad – kompanija koja pokreće platformu – u januaru 21, i savjetovao je klijentima da navedu svoj sigurnosni tim da pročita članak znanja koji sadrži poznate IOC-ove i provjeri svoje sisteme.
“Ukoliko primijetite da je bilo koji IOC prisutan na vašim sistemima, naša preporuka je da se odmah konsultujete sa svojim sigurnosnim timom u vezi izolacije uređaja”, napomenula je kompanija dan kasnije.
Jučer je stiglo posljednje ažuriranje. “Uveli smo dodatni sigurnosni nadzor InteleShare okruženja našeg klijenta. Ako otkrijemo bilo kakvu aktivnost u vašem okruženju koja se odnosi na ranjivost SimpleHelp-a za koju vjerujemo da je potencijalni pokazatelj kompromisa, odmah ćemo vas kontaktirati”, poručili su iz kompanije.
„Ako vaš tim otkrije kompromis, odmah obavijestite Intelerad podršku putem Intelerad servisnog portala. Osim toga, ubuduće nećemo koristiti SimpleHelp zajedno s bilo kojim od naših Intelerad proizvoda.”
Nažalost, članak sa znanjem je nedostupan neregistrovanim korisnicima, ali vremenska linija obavještenja i pominjanje instrukcija za “verifikaciju konfiguracijske datoteke” ukazuju na potencijalnu eksploataciju jedne ili više ranjivosti koje su otkrili istraživači Horizon3.ai.
Ne zna se koliko je podržanih organizacija na kraju pogođeno napadačima.
Help Net Security je kontaktirao Intelerad za više informacija, a mi ćemo ažurirati ovaj članak kada saznamo više.
Ažuriranje: 30. januar 2025. – 13:34 ET
Intelerad nam je poslao sljedeći komentar:
“Svjesni smo sigurnosne ranjivosti otkrivene u SimpleHelpu, alatu za daljinsku podršku koji koriste mnogi naši InteleShare klijenti. Iako Intelerad ne upravlja direktno softverom SimpleHelp, zaštita podataka naših klijenata je naš glavni prioritet. Kao mjeru predostrožnosti, onemogućili smo softver SimpleHelp za sve klijente i aktivno istražujemo problem. Obavijestit ćemo vas ako i kada više informacija bude dostupno.”
Izvor:Help Net Security
