Хакеры используют уязвимости в SimpleHelp RMM для проникновения в сети

Сетевые злоумышленники эксплуатируют недавно исправленные уязвимости в программном обеспечении SimpleHelp Remote Monitoring and Management (RMM), чтобы получить начальный доступ к целевым сетям. Уязвимости, зарегистрированные под номерами CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728, позволяют злоумышленникам загружать и выгружать файлы с устройств, а также повышать свои привилегии до уровня администратора.

Исследователи из Horizon3 обнаружили и опубликовали информацию об этих уязвимостях две недели назад, а SimpleHelp выпустила исправления в период с 8 по 13 января 2025 года для версий продукта 5.5.8, 5.4.10 и 5.3.9. Однако, несмотря на наличие обновлений, хакеры продолжают использовать уязвимые системы.

Платформа мониторинга Shadowserver Foundation сообщила, что по состоянию на сегодняшний день в интернете всё ещё доступны 580 уязвимых экземпляров SimpleHelp, из которых 345 расположены в США.

Компания Arctic Wolf обнаружила, что атаки начинаются с запуска на целевом устройстве клиента SimpleHelp, который затем связывается с неавторизованным сервером SimpleHelp. Это может быть результатом либо эксплуатации вышеуказанных уязвимостей, либо использования украденных учетных данных.

Внутри системы атакующие запускают команды cmd.exe (например, «net» и «nltest»), чтобы получить данные о пользователях, группах, общих ресурсах и доменных контроллерах. Эти действия обычно предшествуют попыткам повышения привилегий и бокового перемещения по сети. Однако, в данном случае, злоумышленников удалось остановить до того, как они перешли к дальнейшим действиям.

Пользователям SimpleHelp настоятельно рекомендуется установить последние обновления, устраняющие уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728. Если же программное обеспечение SimpleHelp больше не используется, лучше удалить его с устройств, чтобы исключить возможность атак в будущем.