勒索软件攻击者利用未修补的SimpleHelp远程监控和管理软件入侵公用事业计费软件提供商

美国网络安全和基础设施安全局（CISA）发布此安全警报，以回应勒索软件攻击者利用SimpleHelp远程监控和管理软件（RMM）中一个未修补的漏洞来入侵一家公用事业计费软件提供商客户的事件。此事件反映了自2025年1月以来，勒索软件攻击者通过未修补版本的SimpleHelp RMM针对组织的更广泛攻击模式。

SimpleHelp 5.5.7及更早版本包含多个漏洞，包括CVE-2024-57727——一个路径遍历漏洞。勒索软件攻击者很可能利用了CVE-2024-57727来访问下游客户未修补的SimpleHelp RMM，从而在双重勒索攻击中破坏服务。

CISA已于2025年2月13日将CVE-2024-57727添加到其已知被利用漏洞（KEV）目录中。

CISA敦促软件供应商、下游客户和最终用户，根据已确认的入侵或入侵风险，立即实施本公告中列出的缓解措施。

缓解措施

CISA建议组织实施以下缓解措施，以应对利用SimpleHelp软件的新兴勒索软件活动。这些缓解措施与CISA和美国国家标准与技术研究院（NIST）制定的跨部门网络安全性能目标（CPG）保持一致。CPG提供了一套最低限度的实践和保护措施，CISA和NIST建议所有组织实施。

易受攻击的第三方供应商

如果SimpleHelp被嵌入或捆绑在供应商自有的软件中，或者第三方服务提供商在下游客户的网络上使用SimpleHelp，则应在文件<文件路径>/SimpleHelp/configuration/serverconfig.xml顶部识别SimpleHelp服务器版本。如果发现或自2025年1月以来使用了5.5.7或更早版本，第三方供应商应：

1. 将SimpleHelp服务器实例与互联网隔离或停止服务器进程。
2. 立即根据SimpleHelp的安全漏洞公告升级到最新的SimpleHelp版本。
3. 联系您的下游客户，指导他们采取措施保护其端点，并在其网络上进行威胁狩猎行动。

易受攻击的下游客户和最终用户

确定系统是否直接或通过第三方软件嵌入运行了未修补版本的SimpleHelp RMM。

SimpleHelp端点

通过检查以下特定于环境的路径，确定端点是否正在运行远程访问服务：

• Windows: %APPDATA%\JWrapper-Remote Access
• Linux: /opt/JWrapper-Remote Access
• MacOS: /Library/Application Support/JWrapper-Remote Access

如果存在并运行RAS安装，请打开<文件路径>/JWrapper-Remote Access/JWAppsSharedConfig/中的serviceconfig.xml文件，以确定注册的服务是否易受攻击。以<ConnectTo开头的行指示服务注册的服务器地址。

SimpleHelp服务器

通过对任何SimpleHelp服务器执行HTTP查询来确定其版本。在URL后添加/allversions以查询版本页面。此页面将列出正在运行的版本。

如果确认系统上存在未修补的SimpleHelp 5.5.7或更早版本，组织应进行威胁狩猎行动以寻找入侵证据，并持续监控来自SimpleHelp服务器的异常入站和出站流量。注意：这不是入侵迹象的详尽列表。

1. 参考SimpleHelp的指南来确定是否被入侵以及后续步骤。
2. 将SimpleHelp服务器实例与互联网隔离或停止服务器进程。
3. 搜索在2025年1月之后创建的、具有三个字母文件名（例如，aaa.exe， bbb.exe等）的任何可疑或异常可执行文件。此外，通过信誉良好的扫描服务执行主机和网络漏洞安全扫描，以验证系统上没有恶意软件。
4. 即使没有入侵证据，用户也应立即根据SimpleHelp的安全漏洞公告升级到最新的SimpleHelp版本。

如果您的组织无法立即识别和修补易受攻击的SimpleHelp版本，请应用适当的变通方法。在这种情况下，CISA建议在可用时使用供应商提供的其他缓解措施。这些非修补性变通方法不应被视为永久性修复，组织应在补丁可用时尽快应用。

已加密的下游客户和最终用户

如果系统已被勒索软件加密：

1. 将受影响的系统与互联网断开连接。
2. 使用干净的安装介质（例如，可启动的USB驱动器或DVD）重新安装操作系统。确保安装介质无恶意软件。
3. 擦除系统，仅从干净的备份中恢复数据。确保数据文件是从受保护的环境中获取的，以避免将勒索软件重新引入系统。

CISA敦促您通过CISA的24/7运营中心，及时向当地的FBI现场办公室、FBI的互联网犯罪投诉中心以及CISA报告勒索软件事件。

主动缓解措施以降低风险

为了减少入侵机会并加强对勒索软件活动的响应，CISA建议供应商和托管服务提供商的客户实施以下最佳实践：

• 维护强大的资产清单和硬件列表。
• 维护系统的干净离线备份，以确保恢复时不会发生加密。在单独的离线设备（例如U盘或外部硬盘驱动器）上执行每日系统备份。备份完成后，将设备从计算机上移除。
• 不要将远程桌面协议等远程服务暴露在互联网上。如果必须暴露这些服务，请应用适当的补偿控制以防止常见的滥用和利用形式。在面向互联网的资产上禁用不必要的操作系统应用程序和网络协议。
• 对网络上的RMM软件进行风险分析。如果需要RMM，请向第三方供应商询问采取了哪些安全控制措施。
• 与第三方供应商建立并保持开放的沟通渠道，以了解其补丁管理流程。
• 对于软件供应商，请考虑将软件物料清单集成到产品中，以减少漏洞修复时间。

SBOM是用于构建软件的组件的正式记录。SBOM通过快速识别和避免已知漏洞、识别安全要求以及管理漏洞缓解措施来增强供应链风险管理。

资源

• Health-ISAC：威胁公告：SimpleHelp RMM软件被用于入侵网络的利用尝试
• Arctic Wolf：Arctic Wolf观察到利用SimpleHelp RMM软件进行初始访问的活动
• CISA：#StopRansomware 指南

报告

您的组织没有义务回应本公告或提供信息。在审查所提供的信息后，如果您的组织决定向FBI提供信息，报告必须符合适用的州和联邦法律。

FBI对可以共享的任何信息感兴趣，包括显示与外国IP地址通信的边界日志、勒索信的样本、与威胁行为者的通信、比特币钱包信息、解密器文件和/或加密文件的良性样本。

其他感兴趣的细节包括目标公司联系人、感染状态和范围、估计损失、运营影响、交易ID、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。

CISA和FBI不鼓励支付赎金，因为付款并不能保证受害者的文件会被恢复。此外，付款还可能使对手有胆量针对其他组织，鼓励其他犯罪行为人参与勒索软件的传播，和/或资助非法活动。无论您或您的组织是否决定支付赎金，FBI和CISA都敦促您通过CISA的事件报告系统或其24/7运营中心，及时向FBI的互联网犯罪投诉中心、当地的FBI现场办公室或CISA报告勒索软件事件。

SimpleHelp用户或供应商可以联系support@simple-help.com寻求查询或问题协助。

免责声明

本报告中的信息“按原样”提供，仅供参考。CISA不认可任何商业实体、产品、公司或服务，包括本文件内链接的任何实体、产品或服务。对特定商业实体、产品、流程或服务的任何引用，无论是通过服务标记、商标、制造商还是其他方式，均不构成或暗示CISA的认可、推荐或支持。

版本历史 2025年6月12日：初始版本。