勒索软件利用未修复的SimpleHelp漏洞入侵计费软件供应商

美国网络安全与基础设施安全局发布安全公告,披露勒索软件组织利用SimpleHelp远程监控管理软件未修复漏洞入侵公用事业计费软件供应商。攻击者通过路径遍历漏洞CVE-2024-57727破坏服务并实施双重勒索,受影响用户需立即升级至最新版本。

摘要

网络安全与基础设施安全局(CISA)发布此安全公告,回应勒索软件组织利用SimpleHelp远程监控管理(RMM)软件中未修复漏洞入侵公用事业计费软件供应商客户的事件。自2025年1月以来,勒索软件组织持续通过未修复的SimpleHelp RMM版本攻击各类组织。

SimpleHelp 5.5.7及更早版本存在多个漏洞,包括CVE-2024-57727——一个路径遍历漏洞。勒索软件组织很可能利用CVE-2024-57727访问下游客户的未修复SimpleHelp RMM,在双重勒索攻击中破坏服务。

CISA已于2025年2月13日将CVE-2024-57727添加到其已知被利用漏洞(KEV)目录中。

CISA敦促软件供应商、下游客户和最终用户根据已确认的入侵风险,立即实施本公告中列出的缓解措施。

缓解措施

CISA建议组织实施以下缓解措施,应对利用SimpleHelp软件的新兴勒索软件活动。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPGs)保持一致。

易受攻击的第三方供应商

如果SimpleHelp嵌入或捆绑在供应商拥有的软件中,或者第三方服务提供商在下游客户网络上使用SimpleHelp,则应识别文件<file_path>/SimpleHelp/configuration/serverconfig.xml顶部的SimpleHelp服务器版本。如果发现自2025年1月以来使用5.5.7或更早版本,第三方供应商应:

  • 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
  • 根据SimpleHelp的安全漏洞公告立即升级到最新版本
  • 联系下游客户,指导他们采取措施保护其端点并在其网络上进行威胁搜寻

易受攻击的下游客户和最终用户

确定系统是否直接或通过第三方软件嵌入运行未修复的SimpleHelp RMM版本。

SimpleHelp端点 通过检查以下路径确定端点是否运行远程访问(RAS)服务:

  • Windows:%APPDATA%\JWrapper-Remote Access
  • Linux:/opt/JWrapper-Remote Access
  • MacOs:/Library/Application Support/JWrapper-Remote Access

如果存在并运行RAS安装,打开<file_path>/JWrapper-Remote Access/JWAppsSharedConfig/中的serviceconfig.xml文件,确定注册的服务是否易受攻击。以<ConnectTo开头的行指示服务注册的服务器地址。

SimpleHelp服务器 通过对任何SimpleHelp服务器执行HTTP查询来确定其版本。在URL中添加/allversions(例如,https://simple-help.com/allversions)查询版本页面。此页面将列出运行版本。

如果在系统上确认存在未修复的SimpleHelp 5.5.7或更早版本,组织应进行威胁搜寻以查找入侵证据,并持续监控来自SimpleHelp服务器的异常入站和出站流量。

  • 参考SimpleHelp的指南确定是否被入侵及后续步骤
  • 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
  • 搜索2025年1月之后创建的具有三个字母文件名(例如aaa.exe、bbb.exe等)的任何可疑或异常可执行文件
  • 即使没有入侵证据,用户也应立即根据SimpleHelp的安全漏洞公告升级到最新版本

如果组织无法立即识别和修复易受攻击的SimpleHelp版本,应应用适当的变通方案。CISA建议在这种情况下使用其他供应商提供的缓解措施(如果可用)。

已加密的下游客户和最终用户

如果系统已被勒索软件加密:

  • 将受影响的系统与互联网断开连接
  • 使用干净的安装介质重新安装操作系统
  • 擦除系统并仅从干净备份恢复数据

CISA敦促您通过CISA的24/7运营中心及时向当地FBI外地办事处、FBI互联网犯罪投诉中心(IC3)报告勒索软件事件。

降低风险的主动缓解措施

为减少入侵机会并加强对勒索软件活动的响应,CISA建议供应商和托管服务提供商(MSP)的客户实施以下最佳实践:

  • 维护强大的资产清单和硬件列表[CPG 1.A]
  • 维护系统的干净离线备份[CPG 2.R]
  • 不要在网上暴露远程服务[CPG 2.W]
  • 对网络上的RMM软件进行风险分析
  • 与第三方供应商建立并维护开放的沟通渠道
  • 对于软件供应商,考虑将软件物料清单(SBOM)集成到产品中

报告

您的组织没有义务回应本公告或提供信息。如果决定向FBI提供信息,报告必须符合适用的州和联邦法律。

FBI对可以共享的任何信息感兴趣,包括显示与外国IP地址通信的边界日志、勒索笔记样本、与威胁行为者的通信、比特币钱包信息、解密器文件和/或加密文件的良性样本。

CISA和FBI不鼓励支付赎金,因为付款不能保证受害者的文件会被恢复。无论您或您的组织是否决定支付赎金,FBI和CISA都敦促您及时通过CISA的事件报告系统或其24/7运营中心向FBI的互联网犯罪投诉中心(IC3)、当地FBI外地办事处报告勒索软件事件。

SimpleHelp用户或供应商可以联系support@simple-help.com寻求查询或问题帮助。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次