Kriminelle missbrauchen Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM, um in PCs und Netzwerke einzudringen. IT-Sicherheitsforscher haben eine Kampagne beobachtet, bei der Geräte initial durch diese Schwachstellen angegriffen wurden.
Anzeige
In einem Blog-Beitrag schreiben die Mitarbeiter von Arctic Wolf, dass knapp eine Woche vor der Entdeckung dieser Kampagne die IT-Forscher von Horizon3.ai drei Sicherheitslücken in SimpleHelp RMM aufgespürt und Informationen dazu veröffentlicht haben. Es handelt sich um drei Sicherheitslücken. Die gravierendste ermöglicht die Rechteausweitung von niedrig privilegierten Techniker-Zugang zum Server-Admin (CVE-2024-57726, CVSS 9.9, Risiko "kritisch").
Zudem können Angreifer ohne vorherige Anmeldung beliebige Dateien vom SimpleHelp-Server herunterladen, was Horizon3.ai als die schlimmste Sicherheitslücke aus dem Lücken-Trio einordnet, die CVSS-Einstufung spiegelt das aber nicht wider (CVE-2024-57727, CVSS 7.5, hoch). Die dritte Schwachstelle ermöglicht das Hochladen von Dateien an beliebige Stellen auf dem SimpleHelp-Server, sofern Admin-Zugriff (etwa als SimpleHelpAdmin oder Techniker mit Admin-Rechten) möglich ist. Unter Linux können bösartige Akteure durch das Hochladen einer crontab-Datei aus der Ferne Befehle ausführen (CVE-2024-57728, CVSS 7.2, hoch).
Die SimpleHelp-RMM-Versionen 5.3.9, 5.4.10 und 5.5.8 stopfen diese Sicherheitslücken. IT-Verantwortliche sollten so rasch wie möglich aktualisieren, sofern das noch nicht geschehen ist.
Bei dem Einbruch, den Arctic Wolf analysiert hat, lief bereits die "Remote Access.exe" von SimpleHelp aufgrund einer zuvor stattgefundenen Support-Sitzung eines Drittanbieters. Als erstes Zeichen einer Kompromittierung konnten sie Kommunikation mit einer nicht zugelassenen SimpleHelp-Server-Instanz ausmachen. In der SimpleHelp-Sitzung haben die Angreifer eine Befehlszeile ("cmd.exe") geöffnet und Konten sowie Domain-Informationen etwa mit "net" und "nltest" abgefragt – Tools, die Windows ab Werk mitbringt und auch Angreifern nützliche Diener sind (Living of the Land, Lotl). Die Ziele der Angreifer bleiben jedoch unbekannt, da die Sitzung beendet wurde, bevor sie ihre Attacke vorantreiben konnten.
Artic Wolf empfiehlt, die SimpleHelp-Client-Software aus Ad-hoc-Support-SItzungen zu deinstallieren, Passwörter auf SimpleHelp-Servern zu ändern und den Zugriff auf vertrauenswürdige IPs zu beschränken und natürlich die bereitstehenden Sicherheitsupdates zu installieren.
(