Οι χάκερ πιστεύεται ότι εκμεταλλεύονται πρόσφατα σταθεροποιούν τις ευπάθειες λογισμικού SimpleHelp Remote Monitoring and Management (RMM) για να αποκτήσουν αρχική πρόσβαση σε δίκτυα στόχων.
Τα ελαττώματα, που παρακολουθούνται ως CVE-2024-57726, CVE-2024-57727 και CVE-2024-57728, επιτρέπουν στους ηθοποιούς απειλής να κατεβάσουν και να ανεβάζουν αρχεία σε συσκευές και να κλιμακώνουν τα προνόμια σε διοικητικά επίπεδα.
Τα τρωτά σημεία ανακαλύφθηκαν και αποκαλύπτεται από τον Horizon3 ερευνητές πριν από δύο εβδομάδες. Το SimpleHelp κυκλοφόρησε τις διορθώσεις μεταξύ 8 και 13 Ιανουαρίου στις εκδόσεις προϊόντων 5.5.8, 5.4.10 και 5.3.9.
Ο Arctic Wolf αναφέρει τώρα μια συνεχιζόμενη καμπάνια που στοχεύει τους διακομιστές απλού κηλίδων που ξεκίνησαν περίπου μια εβδομάδα μετά τη δημόσια αποκάλυψη των ελαττωμάτων από το Horizon3.
Η εταιρεία ασφαλείας δεν είναι 100% βέβαιο ότι οι επιθέσεις αξιοποιούν αυτές τις ατέλειες, αλλά συνδέουν τις παρατηρήσεις της με την έκθεση του Horizon3 με μέση εμπιστοσύνη.
“Ενώ δεν επιβεβαιώνεται ότι τα πρόσφατα αποκαλυπτόμενα τρωτά σημεία είναι υπεύθυνα για την παρατηρούμενη εκστρατεία, η Arctic Wolf συνιστά ακράδαντα την αναβάθμιση στις τελευταίες διαθέσιμες σταθερές εκδόσεις του λογισμικού SimpleHelp Server όπου είναι δυνατόν”. διαβάζει την αναφορά.
“Σε καταστάσεις όπου ο πελάτης SimpleHelp εγκαταστάθηκε προηγουμένως σε συσκευές για περιόδους υποστήριξης τρίτων, αλλά δεν χρησιμοποιείται ενεργά για καθημερινές επιχειρήσεις, η Arctic Wolf συνιστά την απεγκατάσταση του λογισμικού για τη μείωση της πιθανής επιφάνειας επίθεσης”.
Η πλατφόρμα παρακολούθησης απειλής Shadowserver Foundation ανέφερε ότι βλέπουν 580 ευάλωτες περιπτώσεις που εκτίθενται στο διαδίκτυο, οι περισσότεροι (345) που βρίσκονται στις Ηνωμένες Πολιτείες.
Επιθέσεις σε άγρια φύση
Ο Artic Wolf αναφέρει ότι η διαδικασία Remote Access.Exe του SimpleHelp είχε ήδη εκτελεστεί στο παρασκήνιο πριν από την επίθεση, υποδεικνύοντας ότι το SimpleHelp είχε εγκατασταθεί προηγουμένως για απομακρυσμένες συνεδρίες υποστήριξης στις συσκευές.
Το πρώτο σημάδι συμβιβασμού ήταν ο πελάτης SimpleHelp στη συσκευή προορισμού που επικοινωνεί με έναν μη εγκεκριμένο διακομιστή SimpleHelp.
Αυτό είναι δυνατό είτε με τον επιτιθέμενο που εκμεταλλεύεται ελαττώματα στο SimpleHelp για να αποκτήσει τον έλεγχο του πελάτη είτε χρησιμοποιώντας κλεμμένα διαπιστευτήρια για να καταργήσει τη σύνδεση.
Μόλις εισέλθει στο εσωτερικό, οι επιτιθέμενοι έτρεξαν εντολές CMD.exe όπως το ‘Net’ και το ‘Nltest’ για να συγκεντρώσουν πληροφορίες σχετικά με το σύστημα, συμπεριλαμβανομένου ενός καταλόγου λογαριασμών χρηστών, ομάδων, κοινών πόρων και ελεγκτών τομέα και δοκιμής της συνδεσιμότητας της Active Directory.
Αυτά είναι κοινά βήματα πριν από την εκτέλεση της κλιμάκωσης των προνομίων και της πλευρικής κίνησης. Ωστόσο, η Αρκτική Wolf λέει ότι η κακόβουλη συνεδρίαση κόπηκε πριν μπορέσει να καθοριστεί τι θα έκανε ο ηθοποιός απειλής στη συνέχεια.
Οι χρήστες SimpleHelp συνιστώνται να αναβαθμίσουν την τελευταία έκδοση που απευθύνεται σε CVE-2024-57726, CVE-2024-57727 και CVE-2024-57728 ελαττώματα.
Περισσότερες πληροφορίες σχετικά με τον τρόπο εφαρμογής των ενημερώσεων ασφαλείας και την επαλήθευση του έμπλαστρο είναι διαθέσιμες στο Δελτίο του SimpleHelp.
Εάν οι πελάτες SimpleHelp εγκαταστάθηκαν στο παρελθόν για να φιλοξενήσουν τις απομακρυσμένες συνεδρίες υποστήριξης, αλλά δεν είναι πλέον απαραίτητες, θα ήταν καλύτερο να απεγκατασταθούν από τα συστήματα για να εξαλείψουν την επιφάνεια επίθεσης.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
