On pense que les pirates exploitent les vulnérabilités logicielles de surveillance et de gestion à distance SimpleHelp récemment corrigées pour obtenir un accès initial aux réseaux cibles.
Les failles, répertoriées sous les noms CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728, permettent aux auteurs de menaces de télécharger et de télécharger des fichiers sur des appareils et d’élever les privilèges aux niveaux administratifs.
Les vulnérabilités ont été découvertes et divulguées par les chercheurs d’Horizon3 il y a deux semaines. SimpleHelp a publié des correctifs entre le 8 et le 13 janvier dans les versions de produit 5.5.8, 5.4.10 et 5.3.9.
Arctic Wolf fait maintenant état d’une campagne en cours ciblant les serveurs SimpleHelp qui a débuté environ une semaine après la divulgation publique des failles par Horizon3.
La société de sécurité n’est pas certaine à 100% que les attaques exploitent ces failles, mais relie ses observations au rapport d’Horizon3 avec une confiance moyenne.
« Bien qu’il ne soit pas confirmé que les vulnérabilités récemment divulguées sont responsables de la campagne observée, Arctic Wolf recommande fortement de passer aux dernières versions corrigées disponibles du logiciel serveur SimpleHelp lorsque cela est possible », lit-on dans le rapport.
« Dans les situations où le client SimpleHelp était précédemment installé sur des appareils pour des sessions d’assistance tierces mais n’est pas activement utilisé pour les opérations quotidiennes, Arctic Wolf recommande de désinstaller le logiciel pour réduire la surface d’attaque potentielle. »
La plateforme de surveillance des menaces Shadowserver Foundation a signalé avoir vu 580 instances vulnérables exposées en ligne, la plupart (345) situées aux États-Unis.
Attaques dans la nature
Artic Wolf rapporte que le SimpleAide à l’accès à distance.le processus exe était déjà en cours d’exécution en arrière-plan avant l’attaque, indiquant que SimpleHelp était précédemment installé pour les sessions d’assistance à distance sur les appareils.
Le premier signe de compromission était le client SimpleHelp sur l’appareil cible communiquant avec un serveur SimpleHelp non approuvé.
Cela est possible soit en exploitant les failles de SimpleHelp pour prendre le contrôle du client, soit en utilisant des informations d’identification volées pour détourner la connexion.
Une fois à l’intérieur, les assaillants ont exécuté cmd.commandes exe telles que » net » et « nltest » pour collecter des informations sur le système, y compris une liste de comptes d’utilisateurs, de groupes, de ressources partagées et de contrôleurs de domaine, et tester la connectivité d’Active Directory.
Ce sont des étapes courantes avant d’effectuer une élévation de privilèges et un mouvement latéral. Cependant, Arctic Wolf affirme que la session malveillante a été interrompue avant qu’il ne soit possible de déterminer ce que l’auteur de la menace ferait ensuite.
Il est recommandé aux utilisateurs de SimpleHelp de passer à la dernière version qui corrige les failles CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728.
Plus d’informations sur la façon d’appliquer les mises à jour de sécurité et de vérifier le correctif sont disponibles dans le bulletin de SimpleHelp.
Si des clients SimpleHelp ont été installés dans le passé pour prendre en charge des sessions d’assistance à distance mais ne sont plus nécessaires, il serait préférable qu’ils soient désinstallés des systèmes pour éliminer la surface d’attaque.