总结

网络安全和基础设施安全局（CISA）发布此公告，回应勒索软件行为者利用SimpleHelp远程监控和管理（RMM）软件中未修复的漏洞攻击公用事业计费软件提供商的客户。此事件反映了自2025年1月以来，勒索软件行为者通过未修复的SimpleHelp RMM版本攻击组织的更广泛模式。

SimpleHelp 5.5.7及更早版本包含多个漏洞，包括CVE-2024-57727——一个路径遍历漏洞。勒索软件行为者很可能利用CVE-2024-57727访问下游客户的未修复SimpleHelp RMM，在双重勒索攻击中破坏服务。

CISA已于2025年2月13日将CVE-2024-57727添加到其已知被利用漏洞（KEV）目录中。

CISA敦促软件供应商、下游客户和最终用户根据已确认的入侵或入侵风险，立即实施本公告中列出的缓解措施。

缓解措施

CISA建议组织实施以下缓解措施，以应对利用SimpleHelp软件的新兴勒索软件活动。这些缓解措施与CISA和国家标准与技术研究院（NIST）制定的跨部门网络安全性能目标（CPGs）保持一致。

易受攻击的第三方供应商

如果SimpleHelp嵌入或捆绑在供应商拥有的软件中，或者第三方服务提供商在下游客户网络上使用SimpleHelp，则应在文件<file_path>/SimpleHelp/configuration/serverconfig.xml顶部识别SimpleHelp服务器版本。如果发现自2025年1月以来使用5.5.7或更早版本，第三方供应商应：

• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
• 根据SimpleHelp的安全漏洞公告立即升级到最新版本
• 联系下游客户，指导他们采取措施保护其端点并在其网络上进行威胁搜寻

易受攻击的下游客户和最终用户

确定系统是否直接或通过第三方软件嵌入运行未修复的SimpleHelp RMM版本。

SimpleHelp端点 通过检查以下路径（取决于特定环境）来确定端点是否运行远程访问（RAS）服务：

• Windows：%APPDATA%\JWrapper-Remote Access
• Linux：/opt/JWrapper-Remote Access
• MacOs：/Library/Application Support/JWrapper-Remote Access

如果存在并运行RAS安装，请打开<file_path>/JWrapper-Remote Access/JWAppsSharedConfig/中的serviceconfig.xml文件，以确定注册的服务是否易受攻击。以<ConnectTo开头的行指示服务注册的服务器地址。

SimpleHelp服务器 通过对任何SimpleHelp服务器执行HTTP查询来确定其版本。在URL中添加/allversions（例如，https://simple-help.com/allversions）以查询版本页面。此页面将列出运行版本。

如果在系统上确认存在未修复的SimpleHelp 5.5.7或更早版本，组织应进行威胁搜寻以查找入侵证据，并持续监控来自SimpleHelp服务器的异常入站和出站流量。

• 参考SimpleHelp的指南确定是否被入侵及后续步骤
• 将SimpleHelp服务器实例与互联网隔离或停止服务器进程
• 搜索任何具有三个字母文件名（例如aaa.exe、bbb.exe等）且在2025年1月之后创建的可疑或异常可执行文件
• 即使没有入侵证据，用户也应立即根据SimpleHelp的安全漏洞公告升级到最新版本

被加密的下游客户和最终用户

如果系统已被勒索软件加密：

• 将受影响的系统与互联网断开连接
• 使用干净的安装介质重新安装操作系统
• 擦除系统并仅从干净备份中恢复数据

主动缓解措施以降低风险

为减少入侵机会并加强对勒索软件活动的响应，CISA建议供应商和托管服务提供商（MSP）的客户实施以下最佳实践：

• 维护强大的资产清单和硬件列表
• 维护系统的干净离线备份
• 不要在网上暴露远程服务
• 对网络上的RMM软件进行风险分析
• 与第三方供应商建立并维护开放的沟通渠道
• 对于软件供应商，考虑将软件物料清单集成到产品中

报告

CISA和FBI不鼓励支付赎金，因为付款不能保证受害者的文件将被恢复。无论您或您的组织是否决定支付赎金，FBI和CISA都敦促您及时通过CISA的事件报告系统或其24/7运营中心报告勒索软件事件。

SimpleHelp用户或供应商可以联系support@simple-help.com寻求帮助。