Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) εξέδωσε μια κρίσιμη ειδοποίηση σχετικά με δύο ευπάθειες που χρησιμοποιούνται ενεργά στο λογισμικό απομακρυσμένης υποστήριξης SimpleHelp.
Τα εργαλεία απομακρυσμένης πρόσβασης είναι στόχοι υψηλής εκτίμησης για τους εγκληματίες του κυβερνοχώρου, επειδή παρέχουν άμεσες διαδρομές στα εταιρικά δίκτυα.
Όταν παραβιάζονται, αυτές οι πλατφόρμες επιτρέπουν στους παράγοντες απειλών να παρακάμψουν τις παραδοσιακές περιμέτρους ασφαλείας και να εξαπολύσουν καταστροφικές δευτερεύουσες επιθέσεις.
Οι οργανισμοί που χρησιμοποιούν το SimpleHelp πρέπει να λάβουν άμεσα μέτρα για να εξασφαλίσουν την υποδομή τους από πιθανούς συμβιβασμούς.
Λείπει ελάττωμα εξουσιοδότησης
Το πρώτο κρίσιμο θέμα ευπάθειας, το CVE-2024-57726, έχει ταξινομηθεί ως πρόβλημα εξουσιοδότησης που λείπει σύμφωνα με το CWE-862.
Αυτό το κενό ασφαλείας σπάει ουσιαστικά τα στοιχεία ελέγχου πρόσβασης που βασίζονται σε ρόλους στην πλατφόρμα SimpleHelp.
Το ελάττωμα επιτρέπει σε τεχνικούς με χαμηλά προνόμια να παρακάμπτουν τους προβλεπόμενους περιορισμούς και να δημιουργούν κλειδιά API με υπερβολικά δικαιώματα.
Εκμεταλλευόμενος αυτήν την αδυναμία, ένας παραβιασμένος λογαριασμός χαμηλού επιπέδου μπορεί γρήγορα να κλιμακώσει τα δικαιώματα στον ρόλο του διαχειριστή διακομιστή.
Η απόκτηση αυτού του επιπέδου πρόσβασης παρέχει στους εισβολείς πλήρη διαχειριστικό έλεγχο στο περιβάλλον απομακρυσμένης υποστήριξης και σε όλα τα συνδεδεμένα μηχανήματα-πελάτες.
Ευπάθεια διέλευσης διαδρομής
Το δεύτερο θέμα ευπάθειας, το CVE-2024-57728, είναι ένα επικίνδυνο ελάττωμα διέλευσης διαδρομής που συνδέεται με το CWE-22.
Συχνά αναφέρεται ως επίθεση “διολίσθησης zip”, αυτή η εκμετάλλευση επιτρέπει σε έναν επαληθευμένο διαχειριστή να ανεβάζει ειδικά δημιουργημένα αρχεία zip οπουδήποτε στο υποκείμενο σύστημα αρχείων.
Αν και ένας εισβολέας χρειάζεται πρόσβαση διαχειριστή για να ενεργοποιήσει αυτό το σφάλμα, μπορεί εύκολα να το συνδέσει με την πρώτη ευπάθεια εξουσιοδότησης για να αποκτήσει τα απαιτούμενα δικαιώματα.
Μια φορά το κακόβουλο ωφέλιμο φορτίο μεταφορτώνεται, οι παράγοντες απειλών μπορούν να εκτελέσουν αυθαίρετο κώδικα στον κεντρικό διακομιστή.
Αυτός ο κώδικας εκτελείται στο πλαίσιο ασφαλείας του χρήστη SimpleHelp, δίνοντας στους χάκερ μια σταθερή βάση για πλευρική κίνηση στο δίκτυο.
Στις 24 Απριλίου 2026, Η CISA πρόσθεσε επίσημα αυτά τα ελαττώματα ασφαλείας στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV).
Λόγω της ενεργητικής εκμετάλλευσης αυτών των ελαττωμάτων, η CISA έχει ορίσει αυστηρή προθεσμία αποκατάστασης στις 8 Μαΐου 2026.
Αν και είναι προς το παρόν άγνωστο εάν οι συμμορίες ransomware χρησιμοποιούν αυτά τα συγκεκριμένα exploits, η σοβαρότητα της απειλής απαιτεί άμεση προσοχή.
Οι ομάδες ασφαλείας πρέπει να δώσουν προτεραιότητα στην επιδιόρθωση και την ασφάλιση της υποδομής απομακρυσμένης πρόσβασής τους για να αποτρέψουν μη εξουσιοδοτημένες εξαγορές συστήματος.
Οι διαχειριστές συστήματος θα πρέπει να εφαρμόσουν αμέσως τα ακόλουθα μέτρα ασφαλείας:
- Εφαρμόστε όλους τους διαθέσιμους μετριασμούς και ενημερώσεις λογισμικού που παρέχονται στις επίσημες οδηγίες του προμηθευτή SimpleHelp.
- Ακολουθήστε τις ισχύουσες οδηγίες BOD 22-01 για την ασφάλεια των συνδεδεμένων υπηρεσιών cloud και της εξωτερικής υποδομής.
- Παρακολουθήστε τα αρχεία καταγραφής δικτύου για ασυνήθιστη δημιουργία κλειδιού API ή ύποπτες μεταφορτώσεις αρχείων που προέρχονται από τον διακομιστή SimpleHelp.
- Διακόψτε εντελώς τη χρήση του προϊόντος και αποσυνδέστε το από το δίκτυο εάν δεν υπάρχουν διαθέσιμα μέτρα αντιμετώπισης.
VIA: cybersecuritynews.com
