SimpleHelp RMM Vulnerabilities Exploited in Latest Cyberattack Campaign
2025/01/27 SecurityOnline — SimpleHelp RMM ソフトウェアの脆弱性を悪用して、標的デバイスのイニシャル・アクセスを取得する新しいキャンペーンを、Arctic Wolf のセキュリティ研究者たちが発見した。このキャンペーンは、2025年1月22日に発見されたものであり、先日に公開された SimpleHelp の欠陥を悪用する脅威アクターたちが、脆弱なソフトウェアを実行しているデバイスを侵害しているという。一連の脆弱性は、1週間前に Horizon3 により公開されたものであり、その悪用に成功した攻撃者は、任意のファイルのダウンロード/アップロードを達成し、権限を昇格して管理者アクセスを取得するという。
脆弱性 CVE-2024-57726/CVE-2024-57727/CVE-2024-57728 が悪用されると、甚大な被害が引き起こされる可能性が生じる。これらの欠陥により、攻撃者は以下のアクションを可能にする。
- SimpleHelp サーバから任意のファイルのダウンロード
- 管理者権限での任意のファイルのアップロード
- 権限昇格による SimpleHelp サーバの管理者アクセスの取得
Arctic Wolf は、「これらの脆弱性を連鎖させる脅威アクターが、SimpleHelp サーバでの管理者アクセス権を取得した場合には、それを悪用することで、SimpleHelp クライアント・ソフトウェアを実行しているデバイスを侵害することが、理論的に可能となる」と警告している。その一方で同社は、今回のキャンペーンで、それらの脆弱性が悪用されたのかどうかは、現時点では確認されていないとしている。ただし、リスクが大きいことは確かである。
Arctic Wolf が観察した攻撃は、正当に使用された後にバックグラウンドでの実行を維持していた、SimpleHelp の Remote Access.exe プロセスから始まっていた。攻撃の主要なステップは以下のとおりである:
- 許可されていない接続:SimpleHelp クライアントが、承認されていない SimpleHelp サーバと通信する。
- 偵察:cmd.exe 経由で、net や nltest などのツールを用いる脅威アクターが、アカウントとドメインの情報を列挙する。
- セッションの終了:さらなるアクションを実行する前に、攻撃は中断された。
このレポートが強調するのは、「SimpleHelp などの RMM ツールには、正当な活動に紛れ込むために悪用される可能性がある。つまり、脅威アクターたちにとって、魅力的なターゲットになる可能性がある」という点である。
SimpleHelp に関連するリスクを軽減するために、Arctic Wolf が推奨する手順は、以下のとおりである:
ネットワーク・トラフィックの監視:SimpleHelp クライアントと許可されていないサーバ・インスタンス間の疑わしい通信を監視する。
パッチ適用バージョンへのアップグレード:SimpleHelp サーバが、最新の修正バージョンへと更新されていることを確認する。
- 5.5.x → 5.5.8 (インストーラー)
- 5.4.x → 5.4.10 (パッチ)
- 5.3.x → 5.3.9 (パッチ)
運用の中断を回避するために、組織のパッチ適用ガイドラインに従ってほしい。
- 使用されていないクライアントのアンインストール:攻撃対象領域を減らすために、アドホック・サポート・セッション用にインストールされ、使用されていない SimpleHelp クライアント・ソフトウェアを削除する。
- アクセス制御の強化:管理者と技術者のパスワードを定期的にローテーションする。
- アクセスの制限:SimpleHelp サーバにログインできる IP アドレスを、既知の信頼できるロケーションに制限する。
Horizon3.ai のリモート・サポート・ツール SimpleHelp の脆弱性が、キャンペーンで悪用されているとのことです。この脆弱性に関しては、2025/01/14 の「SimpleHelp の脆弱性 CVE-2024-57726/57727/57728 が FIX:RCE/特権昇格などの可能性」が、第一報としてありますが、今日の記事は Arctic Wolf の分析を紹介するものです。よろしければ、SimpleHelp で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.