ICS Labs Outbreak Alert - SimpleHelp Support Software Attack

CVE-2024-57727 es una vulnerabilidad crítica que permite a actores maliciosos acceder y descargar archivos arbitrarios de un servidor sin autenticación, requiriendo únicamente el envío de una solicitud HTTP. Esta falla fue identificada en SimpleHelp, un software de monitoreo y gestión remota. Los archivos expuestos pueden contener información altamente sensible, incluyendo configuraciones del servidor, contraseñas de administradores, claves API y otras credenciales. Estos exploits afectan a la versión 5.5.7 de SimpleHelp y a todas las versiones anteriores, siendo la causa principal la validación inadecuada de entradas, lo que permite a los atacantes manipular rutas de archivos para acceder a archivos fuera de los directorios designados.

Según un Aviso de Ciberseguridad publicado por CISA, múltiples grupos de ransomware han explotado estas vulnerabilidades en SimpleHelp para ejecutar código de forma remota.

Últimas Actualizaciones:

• 22 de enero de 2025: Arctic Wolf comenzó a observar una campaña que involucra accesos no autorizados a dispositivos utilizando SimpleHelp como vector inicial.

• 13 de febrero de 2025: Esta vulnerabilidad fue añadida al Catálogo de Vulnerabilidades Conocidas y Explotadas de CISA.

• 29 de mayo de 2025: FortiGuard Labs publicó un Threat Signal Report sobre la vulnerabilidad en SimpleHelp.

• 4 de junio de 2025: Se observó al grupo Play Ransomware explotando la vulnerabilidad CVE-2024-57727.

• 12 de junio de 2025: CISA publicó un boletín informativo titulado: Ransomware Actors Exploit Unpatched SimpleHelp Remote Monitoring and Management to Compromise Utility Billing Software Provider.