SimpleHelp支持软件攻击 | 疫情警报 | FortiGuard实验室
概述
勒索软件攻击者针对远程监控和管理软件 FortiGuard实验室持续观察到针对SimpleHelp远程监控和管理(RMM)软件的攻击尝试,原因是影响5.5.7及更早版本的关键未授权路径遍历漏洞(CVE-2024-57727)。
常见漏洞和暴露
- CVE-2024-57727
- CVE-2024-57728
- CVE-2024-57726
背景
此漏洞允许远程攻击者无需认证即可访问和下载服务器上的任意文件,只需发送特制的HTTP请求。暴露的文件可能包含高度敏感信息,包括服务器配置数据、哈希处理的管理员密码、API密钥和其他凭据。这些漏洞影响SimpleHelp v5.5.7及所有早期版本,根本原因是输入验证不当,允许攻击者操纵文件路径以访问预期目录之外的文件。
根据网络安全和基础设施安全局(CISA)发布的网络安全咨询,多个勒索软件组织,包括与Play勒索软件运营商有联系的初始访问经纪人,利用远程监控和管理工具SimpleHelp中的漏洞进行远程代码执行。
威胁雷达
总体评分:4.2
- CVSS评分:9.9
- FortiRecon评分:91/100
- 已知被利用:是
- 漏洞利用预测评分:93.84%
- FortiGuard遥测:5418
最新进展
FortiGuard实验室敦促所有SimpleHelp用户尽快升级到最新可用版本(如果尚未完成)。
2025年6月12日: CISA发布咨询:勒索软件行为者利用未修补的SimpleHelp远程监控和管理软件危害公用事业计费软件提供商
2025年6月4日: 观察到Play勒索软件利用CVE-2024-57727进行初始访问
2025年5月29日: FortiGuard实验室发布关于SimpleHelp路径遍历漏洞的威胁信号报告
2025年2月13日: 此漏洞被添加到CISA的已知被利用漏洞目录中
2025年1月22日: Arctic Wolf开始观察到涉及未经授权访问运行SimpleHelp RMM软件的设备作为初始访问向量的活动
FortiGuard网络安全框架
保护
- 诱饵
- 诱饵虚拟机
- 防病毒
- 漏洞
- 入侵防护
检测
- 入侵指标(IOC)
- 疫情检测
响应
- 自动响应
- 辅助响应服务
恢复
- NOC/SOC培训
- 最终用户培训
识别
- 漏洞管理
- 攻击面加固
威胁情报
入侵指标列表
| 指标 | 类型 | 状态 |
|---|---|---|
| 0e408aed1acf902a9f97abf71cf0dd354024109c5d52a79054 | 文件 | 活跃 |
| 143.110.243.154 | IP | 活跃 |
| 213.183.63.41 | IP | 活跃 |
| 453257c3494addafb39cb6815862403e827947a1e7737eb816 | 文件 | 活跃 |
| 47b7b2dd88959cd7224a5542ae8d5bce928bfc986bf0d03215 | 文件 | 活跃 |
显示18个条目中的1到5个
入侵指标威胁活动
过去24小时:115 趋势:21%
入侵防护
SimpleHelp远程支持CVE-2024-57727路径遍历 过去24小时:523 趋势:-26%
防病毒
W32/Filecoder PLAY!tr ransom 过去24小时:3 趋势:-40%
参考资料
- SimpleHelp公告
- 健康ISAC威胁公告
- FortiGuard威胁信号
- 关于FortiGuard疫情警报