Специалисты по кибербезопасности из Arctic Wolf зафиксировали активную эксплуатацию недавно обнаруженных уязвимостей в программном обеспечении SimpleHelp Remote Monitoring and Management (RMM). Злоумышленники используют эти бреши для получения несанкционированного доступа к корпоративным сетям.
Детали уязвимостей и их потенциальные последствия
В центре внимания находятся три критические уязвимости: CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728. Данные бреши позволяют атакующим осуществлять несанкционированную загрузку и выгрузку файлов, а также повышать привилегии до уровня системного администратора. Исследователи из компании Horizon3 первыми идентифицировали эти уязвимости, после чего разработчики SimpleHelp оперативно выпустили исправления в версиях 5.5.8, 5.4.10 и 5.3.9.
Анализ текущей кампании кибератак
По данным Arctic Wolf, вредоносная кампания стартовала примерно через неделю после публичного раскрытия информации об уязвимостях. Исследователи отмечают, что процесс SimpleHelp Remote Access.exe уже присутствовал на атакованных системах, так как ПО использовалось для легитимной удаленной поддержки.
Признаки компрометации и тактика атакующих
Ключевым индикатором компрометации служит нетипичное взаимодействие клиента SimpleHelp с неавторизованным сервером. Злоумышленники либо эксплуатируют уязвимости для перехвата контроля над клиентом, либо используют скомпрометированные учетные данные. После проникновения атакующие проводят разведку сети с помощью команд net и nltest, собирая информацию об учетных записях, группах, общих ресурсах и контроллерах домена.
Масштаб угрозы и рекомендации по защите
Согласно данным Shadowserver Foundation, в настоящее время в интернете доступно около 580 уязвимых экземпляров SimpleHelp, причем 345 из них расположены на территории США. Специалисты настоятельно рекомендуют администраторам незамедлительно обновить серверное ПО SimpleHelp до последних версий, содержащих исправления безопасности.
Учитывая активную эксплуатацию уязвимостей и потенциально серьезные последствия компрометации систем управления удаленным доступом, организациям следует провести аудит безопасности, проверить логи на наличие подозрительной активности и усилить мониторинг сетевого трафика, связанного с SimpleHelp. Своевременное обновление и соблюдение базовых принципов кибергигиены остаются ключевыми факторами защиты от подобных угроз.
