يُعتقد أن المتسللين يستغلون مؤخرًا ثغرات برامج المراقبة والإدارة عن بُعد (RMM) للمراقبة عن بُعد (RMM) للوصول الأولي إلى الشبكات المستهدفة.
تتيح العيوب ، التي يتم تتبعها كـ CVE-2024-57726 ، و CVE-2024-57727 ، و CVE-2024-57728 ، الجهات الفاعلة للتخلي عن تنزيل الملفات وتحميلها على الأجهزة وتصاعد الامتيازات إلى المستويات الإدارية.
تم اكتشاف نقاط الضعف و”https://www.horizon3.ai/attack-research/disclosures/critical-vulnerabilities-in-simplehelp-remote-support-software/” الهدف=”_blank” rel=”nofollow noopener”> تم الكشف عنها بواسطة Horizon3 الباحثون قبل أسبوعين. تم إصدار SimpleHelp بين 8 و 13 يناير في إصدارات المنتج 5.5.8 و 5.4.10 و 5.3.9.
تقارير Arctic Wolf الآن عن حملة مستمرة تستهدف خوادم SimpleHelp التي بدأت بعد أسبوع تقريبًا من الكشف العام لـ Horizon3 عن العيوب.
شركة الأمن ليست متأكدة بنسبة 100 ٪ من أن الهجمات تستفيد من هذه العيوب ولكنها تربط ملاحظاتها بتقرير Horizon3 بثقة متوسطة.
“While it is not confirmed that the recently disclosed vulnerabilities are responsible for the observed campaign, Arctic Wolf strongly recommends upgrading to the latest available fixed versions of the SimpleHelp server software where possible,” يقرأ التقرير.
“In situations where the SimpleHelp client was previously installed on devices for third-party support sessions but isn’t actively being used for day-to-day operations, Arctic Wolf recommends uninstalling the software to reduce the potential attack surface.”
ذكرت منصة مراقبة التهديدات Shadowserver Foundation أنها تشهد 580 حالة عرضة للخطر على الإنترنت ، معظمها (345) في الولايات المتحدة.
الهجمات في البرية
تقارير Artic Wolf أن عملية SimpleHelp ‘Access.exe’ كانت تعمل بالفعل في الخلفية قبل الهجوم ، مما يشير إلى أنه تم تثبيت Simplehelp مسبقًا لجلسات الدعم عن بُعد على الأجهزة.
كانت العلامة الأولى للتسوية هي عميل SimpleHelp على الجهاز المستهدف الذي يتواصل مع خادم SimpleHelp غير الموافق عليه.
هذا ممكن إما عن طريق المهاجم الذي يستغل العيوب في SimpleHelp للتحكم في العميل أو استخدام بيانات الاعتماد المسروقة لاختطاف الاتصال.
بمجرد دخوله ، قام المهاجمون بتشغيل أوامر CMD.exe مثل “Net” و “NLTest” لجمع الذكاء حول النظام ، بما في ذلك قائمة حسابات المستخدمين والمجموعات والموارد المشتركة ووحدات التحكم في المجال ، واختبار اتصال Active Directory.
هذه خطوات شائعة قبل إجراء تصعيد الامتياز والحركة الجانبية. ومع ذلك ، يقول Arctic Wolf أن الجلسة الضارة قد تم قطعها قبل تحديد ما سيفعله ممثل التهديد بعد ذلك.
يوصى بمستخدمي SimpleHelp للترقية إلى أحدث إصدار يعالج CVE-2024-57726 و CVE-2024-57727 و CVE-2024-57728.
مزيد من المعلومات حول كيفية تطبيق تحديثات الأمان والتحقق من أن التصحيح متاح في”https://simple-help.com/kb—security-vulnerabilities-01-2025#upgrading-to-v5-5-8″ الهدف=”_blank” rel=”nofollow noopener”> نشرة Simplehelp.
إذا تم تثبيت عملاء SimpleHelp في الماضي لاستيعاب جلسات الدعم عن بُعد ولكن لم يعد هناك حاجة إليه ، فمن الأفضل إلغاء تثبيته من الأنظمة للقضاء على سطح الهجوم.