总结

网络安全与基础设施安全局（CISA）发布此安全通告，旨在回应勒索软件组织利用SimpleHelp远程监控管理（RMM）软件中未修复的漏洞入侵公用事业计费软件提供商客户的事件。自2025年1月以来，勒索软件组织通过未修复的SimpleHelp RMM版本攻击机构已成为普遍模式。

SimpleHelp 5.5.7及更早版本存在多个漏洞，包括CVE-2024-57727——路径遍历漏洞。勒索软件组织很可能利用CVE-2024-57727访问下游客户的未修复SimpleHelp RMM，在双重勒索攻击中造成服务中断。

CISA已于2025年2月13日将CVE-2024-57727添加到其已知被利用漏洞（KEV）目录中。

CISA敦促软件供应商、下游客户和最终用户根据已确认的入侵或入侵风险，立即实施本通告中列出的缓解措施。

缓解措施

CISA建议组织实施以下缓解措施，以应对利用SimpleHelp软件的新兴勒索软件活动。这些缓解措施与CISA和美国国家标准与技术研究院（NIST）制定的跨部门网络安全性能目标（CPGs）保持一致。

易受攻击的第三方供应商

如果SimpleHelp嵌入或捆绑在供应商拥有的软件中，或者第三方服务提供商在下游客户网络上使用SimpleHelp，则应在文件<文件路径>/SimpleHelp/configuration/serverconfig.xml顶部识别SimpleHelp服务器版本。如果发现自2025年1月以来使用过5.5.7或更早版本，第三方供应商应：

• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程。
• 根据SimpleHelp的安全漏洞公告，立即升级到最新版本。
• 联系下游客户，指导他们采取措施保护其端点，并在其网络上进行威胁搜寻。

易受攻击的下游客户和最终用户

确定系统是否直接或通过第三方软件嵌入运行未修复的SimpleHelp RMM版本。

SimpleHelp端点 通过检查以下路径（取决于具体环境）来确定端点是否运行远程访问（RAS）服务：

• Windows: %APPDATA%\JWrapper-Remote Access
• Linux: /opt/JWrapper-Remote Access
• MacOs: /Library/Application Support/JWrapper-Remote Access

如果存在并运行RAS安装，请打开<文件路径>/JWrapper-Remote Access/JWAppsSharedConfig/中的serviceconfig.xml文件，以确定注册的服务是否易受攻击。以<ConnectTo开头的行指示服务注册的服务器地址。

SimpleHelp服务器 通过对任何SimpleHelp服务器执行HTTP查询来确定其版本。在URL后添加/allversions（例如，https://simple-help.com/allversions）以查询版本页面。此页面将列出运行版本。

如果在系统上确认存在未修复的SimpleHelp 5.5.7或更早版本，组织应进行威胁搜寻以查找入侵证据，并持续监控来自SimpleHelp服务器的异常入站和出站流量。注意：这不是完整的入侵指标列表。

• 参考SimpleHelp的指南以确定是否被入侵及后续步骤。
• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程。
• 搜索自2025年1月之后创建的具有三个字母文件名（例如，aaa.exe、bbb.exe等）的任何可疑或异常可执行文件。此外，通过信誉良好的扫描服务执行主机和网络漏洞安全扫描，以验证系统上没有恶意软件。
• 即使没有入侵证据，用户也应立即根据SimpleHelp的安全漏洞公告升级到最新版本。

如果组织无法立即识别和修复易受攻击的SimpleHelp版本，请应用适当的变通方案。在这种情况下，CISA建议在可用时使用其他供应商提供的缓解措施。这些非修复性变通方案不应被视为永久性解决方案，组织应在适当补丁可用后立即应用。

被加密的下游客户和最终用户

如果系统已被勒索软件加密：

• 将受影响的系统与互联网断开连接。
• 使用干净的安装介质（例如，可启动USB驱动器或DVD）重新安装操作系统。确保安装介质无恶意软件。
• 擦除系统，并仅从干净备份中恢复数据。确保从受保护的环境中获取数据文件，以避免将勒索软件重新引入系统。

CISA敦促您通过CISA的24/7运营中心（report@cisa.gov或1-844-Say-CISA）及时向当地FBI外地办事处、FBI互联网犯罪投诉中心（IC3）和CISA报告勒索软件事件。

主动缓解措施以降低风险

为减少入侵机会并加强对勒索软件活动的响应，CISA建议供应商和托管服务提供商（MSP）的客户实施以下最佳实践：

• 维护强大的资产清单和硬件列表[CPG 1.A]。
• 维护系统的干净、离线备份，以确保恢复后不会发生加密。在单独的离线设备（如闪存驱动器或外部硬盘驱动器）上执行每日系统备份。备份完成后从计算机中移除设备[CPG 2.R]。
• 不要在网络上暴露远程服务，如远程桌面协议（RDP）。如果必须暴露这些服务，请应用适当的补偿控制以防止常见的滥用和利用形式。在面向互联网的资产上禁用不必要的操作系统应用程序和网络协议[CPG 2.W]。
• 对网络上的RMM软件进行风险分析。如果需要RMM，询问第三方供应商已实施的安全控制措施。
• 与第三方供应商建立并维护开放的沟通渠道，以了解其补丁管理流程。
• 对于软件供应商，考虑将软件物料清单（SBOM）集成到产品中，以减少漏洞修复时间。

SBOM是用于构建软件的组件的正式记录。SBOM通过快速识别和避免已知漏洞、识别安全要求以及管理漏洞缓解措施来增强供应链风险管理。

资源

• Health-ISAC：威胁公告：利用SimpleHelp RMM软件进行网络入侵的利用尝试
• Arctic Wolf：Arctic Wolf观察到利用SimpleHelp RMM软件进行初始访问的活动
• CISA：#StopRansomware指南

报告

您的组织没有义务回应本通告或向FBI提供信息。如果您的组织在审查所提供信息后决定向FBI提供信息，报告必须符合适用的州和联邦法律。

FBI对可以共享的任何信息感兴趣，包括显示与外国IP地址通信的边界日志、勒索笔记样本、与威胁行为者的通信、比特币钱包信息、解密器文件和/或加密文件的良性样本。

其他感兴趣的细节包括目标公司联系人、感染状态和范围、估计损失、运营影响、交易ID、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。

CISA和FBI不鼓励支付赎金，因为付款不能保证受害者的文件将被恢复。此外，付款还可能助长对手攻击其他组织，鼓励其他犯罪行为人参与分发勒索软件，和/或资助非法活动。无论您或您的组织是否决定支付赎金，FBI和CISA都敦促您通过FBI的互联网犯罪投诉中心（IC3）、当地FBI外地办事处或CISA的事件报告系统或其24/7运营中心（report@cisa.gov）或致电1-844-Say-CISA（1-844-729-2472）及时报告勒索软件事件。

SimpleHelp用户或供应商可以联系support@simple-help.com以获取查询或疑虑的帮助。

免责声明

本报告中的信息“按原样”提供，仅用于 informational purposes。CISA不认可任何商业实体、产品、公司或服务，包括本文档中链接的任何实体、产品或服务。对特定商业实体、产品、流程或服务的任何引用，无论是通过服务标志、商标、制造商还是其他方式，均不构成或暗示CISA的认可、推荐或偏爱。

版本历史

• 2025年6月12日：初始版本。