Hackers acreditam-se estar explorando vulnerabilidades recentemente corrigidas no software de monitoramento e gerenciamento remoto SimpleHelp (RMM) para obter acesso inicial às redes alvo.
As falhas, rastreadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitem que atores de ameaças façam download e upload de arquivos em dispositivos e escalonem privilégios para níveis administrativos.
As vulnerabilidades foram descobertas e divulgadas por pesquisadores da Horizon3 há duas semanas.
A SimpleHelp lançou correções entre 8 e 13 de janeiro nas versões do produto 5.5.8, 5.4.10 e 5.3.9.
A Arctic Wolf agora relata sobre uma campanha em andamento visando servidores SimpleHelp que começou aproximadamente uma semana após a divulgação pública das falhas pela Horizon3.
A empresa de segurança não tem 100% de certeza de que os ataques aproveitam essas falhas, mas conecta suas observações ao relatório da Horizon3 com confiança média.
"Embora não esteja confirmado que as vulnerabilidades recentemente divulgadas são responsáveis pela campanha observada, a Arctic Wolf recomenda fortemente a atualização para as últimas versões disponíveis corrigidas do software de servidor SimpleHelp onde for possível", diz o relatório.
Em situações em que o cliente SimpleHelp foi previamente instalado em dispositivos para sessões de suporte de terceiros, mas não está sendo ativamente usado para operações diárias, a Arctic Wolf recomenda desinstalar o software para reduzir a superfície de ataque potencial.
A plataforma de monitoramento de ameaças Shadowserver Foundation relatou que vê 580 instâncias vulneráveis expostas online, a maioria (345) localizada nos Estados Unidos.
A Arctic Wolf relata que o processo 'Remote Access.exe' do SimpleHelp já estava em execução em segundo plano antes do ataque, indicando que o SimpleHelp foi previamente instalado para sessões de suporte remoto nos dispositivos.
O primeiro sinal de comprometimento foi o cliente SimpleHelp no dispositivo alvo se comunicando com um servidor SimpleHelp não aprovado.
Isso é possível tanto pelo atacante explorando falhas no SimpleHelp para ganhar controle do cliente quanto usando credenciais roubadas para sequestrar a conexão.
Uma vez dentro, os atacantes executaram comandos cmd.exe como 'net' e 'nltest' para coletar inteligência sobre o sistema, incluindo uma lista de contas de usuário, grupos, recursos compartilhados e controladores de domínio, e testar a conectividade do Active Directory.
Estes são passos comuns antes de realizar escalonamento de privilégio e movimento lateral.
No entanto, a Arctic Wolf diz que a sessão maliciosa foi interrompida antes que pudesse ser determinado o que o ator de ameaça faria a seguir.
Recomenda-se que os usuários do SimpleHelp atualizem para a versão mais recente que aborda as falhas CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728.
Mais informações sobre como aplicar as atualizações de segurança e verificar o patch estão disponíveis no boletim da SimpleHelp.
Se os clientes SimpleHelp foram instalados no passado para acomodar sessões de suporte remoto, mas não são mais necessários, seria melhor que eles fossem desinstalados dos sistemas para eliminar a superfície de ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...