摘要

网络安全与基础设施安全局(CISA)发布此安全通告，回应勒索软件攻击者利用SimpleHelp远程监控管理(RMM)软件中未修复的漏洞入侵公用事业计费软件供应商客户的事件。这一事件反映了自2025年1月以来，勒索软件攻击者通过未修复的SimpleHelp RMM版本针对组织的广泛模式。

SimpleHelp 5.5.7及更早版本包含多个漏洞，包括CVE-2024-57727——一个路径遍历漏洞。勒索软件攻击者很可能利用CVE-2024-57727访问下游客户的未修复SimpleHelp RMM，在双重勒索攻击中破坏服务。

CISA已于2025年2月13日将CVE-2024-57727添加到其已知被利用漏洞(KEV)目录中。

CISA敦促软件供应商、下游客户和最终用户根据已确认的入侵或入侵风险，立即实施本通告中列出的缓解措施。

缓解措施

CISA建议组织实施以下缓解措施，以应对利用SimpleHelp软件的新兴勒索软件活动。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPGs)保持一致。

易受攻击的第三方供应商

如果SimpleHelp嵌入或捆绑在供应商拥有的软件中，或者第三方服务提供商在下游客户网络上使用SimpleHelp，则应在文件<file_path>/SimpleHelp/configuration/serverconfig.xml顶部识别SimpleHelp服务器版本。如果发现自2025年1月以来使用5.5.7或更早版本，第三方供应商应：

• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
• 根据SimpleHelp的安全漏洞公告立即升级到最新版本
• 联系下游客户，指导他们采取措施保护其端点并在其网络上进行威胁搜寻

易受攻击的下游客户和最终用户

确定系统是否直接或通过第三方软件嵌入运行未修复的SimpleHelp RMM版本。

SimpleHelp端点 通过检查以下路径确定端点是否运行远程访问(RAS)服务：

• Windows: %APPDATA%\JWrapper-Remote Access
• Linux: /opt/JWrapper-Remote Access
• MacOs: /Library/Application Support/JWrapper-Remote Access

如果存在并运行RAS安装，打开<file_path>/JWrapper-Remote Access/JWAppsSharedConfig/中的serviceconfig.xml文件，确定注册的服务是否易受攻击。以<ConnectTo开头的行指示服务注册的服务器地址。

SimpleHelp服务器 通过对SimpleHelp服务器执行HTTP查询来确定任何SimpleHelp服务器的版本。在URL中添加/allversions（例如，https://simple-help.com/allversions）查询版本页面。此页面将列出运行版本。

如果在系统上确认存在未修复的SimpleHelp 5.5.7或更早版本，组织应进行威胁搜寻以查找入侵证据，并持续监控来自SimpleHelp服务器的异常入站和出站流量。

• 参考SimpleHelp的指南确定是否被入侵及后续步骤
• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
• 搜索2025年1月之后创建的具有三个字母文件名（例如aaa.exe、bbb.exe等）的任何可疑或异常可执行文件
• 即使没有入侵证据，用户应根据SimpleHelp的安全漏洞公告立即升级到最新版本

被加密的下游客户和最终用户

如果系统已被勒索软件加密：

• 将受影响的系统与互联网断开连接
• 使用干净的安装介质（例如可启动USB驱动器或DVD）重新安装操作系统
• 擦除系统，仅从干净备份恢复数据

主动缓解措施以降低风险

为减少入侵机会并加强对勒索软件活动的响应，CISA建议供应商和托管服务提供商(MSP)的客户实施以下最佳实践：

• 维护强大的资产清单和硬件列表[CPG 1.A]
• 维护系统的干净离线备份
• 不要将远程服务（如RDP）暴露在网络上
• 对网络上的RMM软件进行风险分析
• 与第三方供应商建立并维护开放的沟通渠道
• 对于软件供应商，考虑将软件物料清单(SBOM)集成到产品中

报告

CISA和FBI不鼓励支付赎金，因为付款不能保证受害者的文件将被恢复。无论您或您的组织是否决定支付赎金，FBI和CISA敦促您及时通过FBI的互联网犯罪投诉中心(IC3)、当地FBI现场办公室或CISA的事件报告系统报告勒索软件事件。

SimpleHelp用户或供应商可以联系support@simple-help.com寻求查询或问题帮助。