ICS Labs Outbreak Alert -SimpleHelp Support Software Attack

CVE-2024-57727 é uma vulnerabilidade crítica que permite que agentes maliciosos acessem e realizem o download de arquivos arbitrários em um servidor sem necessidade de autenticação, exigindo apenas o envio de uma requisição HTTP. A falha foi identificada no SimpleHelp, uma solução de monitoramento e gerenciamento remoto. Os arquivos expostos podem conter informações altamente sensíveis, como configurações do servidor, senhas de administradores, chaves de API e outras credenciais. Essa falha afeta a versão 5.5.7 do SimpleHelp e todas as anteriores, sendo causada por uma validação inadequada de entrada, que permite aos atacantes manipularem caminhos de arquivo para acessar conteúdos fora dos diretórios previstos.

De acordo com um Alerta de Cibersegurança publicado pela CISA, diversos grupos de ransomware exploraram essas vulnerabilidades no SimpleHelp para executar código remotamente.

Últimas Atualizações:

• 22 de janeiro de 2025: A Arctic Wolf passou a observar uma campanha envolvendo acesso não autorizado a dispositivos, utilizando o SimpleHelp como vetor de acesso inicial.

• 13 de fevereiro de 2025: A vulnerabilidade foi incluída no Catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA.

• 29 de maio de 2025: O FortiGuard Labs publicou um Threat Signal Report detalhando a vulnerabilidade no SimpleHelp.

• 4 de junho de 2025: Foi observado que o grupo Play Ransomware explorou a CVE-2024-57727.

• 12 de junho de 2025: A CISA divulgou um informativo intitulado: Ransomware Actors Exploit Unpatched SimpleHelp Remote Monitoring and Management to Compromise Utility Billing Software Provider.