SimpleHelp RMM: Angriffe auf Sicherheitslücken beobachtet
In SimpleHelp RMM missbrauchen Angreifer Sicherheitslücken, um Netzwerke zu kompromittieren. Updates stehen bereit.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Kriminelle missbrauchen Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM, um in PCs und Netzwerke einzudringen. IT-Sicherheitsforscher haben eine Kampagne beobachtet, bei der Geräte initial durch diese Schwachstellen angegriffen wurden.
In einem Blog-Beitrag schreiben die Mitarbeiter von Arctic Wolf, dass knapp eine Woche vor der Entdeckung dieser Kampagne die IT-Forscher von Horizon3.ai drei Sicherheitslücken in SimpleHelp RMM aufgespürt und Informationen dazu veröffentlicht haben. Es handelt sich um drei Sicherheitslücken. Die gravierendste ermöglicht die Rechteausweitung von niedrig privilegierten Techniker-Zugang zum Server-Admin (CVE-2024-57726, CVSS 9.9, Risiko "kritisch").
Drei Sicherheitslücken in SimpleHelp RMM
Zudem können Angreifer ohne vorherige Anmeldung beliebige Dateien vom SimpleHelp-Server herunterladen, was Horizon3.ai als die schlimmste Sicherheitslücke aus dem Lücken-Trio einordnet, die CVSS-Einstufung spiegelt das aber nicht wider (CVE-2024-57727, CVSS 7.5, hoch). Die dritte Schwachstelle ermöglicht das Hochladen von Dateien an beliebige Stellen auf dem SimpleHelp-Server, sofern Admin-Zugriff (etwa als SimpleHelpAdmin oder Techniker mit Admin-Rechten) möglich ist. Unter Linux können bösartige Akteure durch das Hochladen einer crontab-Datei aus der Ferne Befehle ausführen (CVE-2024-57728, CVSS 7.2, hoch).
Videos by heise
Die SimpleHelp-RMM-Versionen 5.3.9, 5.4.10 und 5.5.8 stopfen diese Sicherheitslücken. IT-Verantwortliche sollten so rasch wie möglich aktualisieren, sofern das noch nicht geschehen ist.
Bei dem Einbruch, den Arctic Wolf analysiert hat, lief bereits die "Remote Access.exe" von SimpleHelp aufgrund einer zuvor stattgefundenen Support-Sitzung eines Drittanbieters. Als erstes Zeichen einer Kompromittierung konnten sie Kommunikation mit einer nicht zugelassenen SimpleHelp-Server-Instanz ausmachen. In der SimpleHelp-Sitzung haben die Angreifer eine Befehlszeile ("cmd.exe") geöffnet und Konten sowie Domain-Informationen etwa mit "net" und "nltest" abgefragt – Tools, die Windows ab Werk mitbringt und auch Angreifern nützliche Diener sind (Living off the Land, Lotl). Die Ziele der Angreifer bleiben jedoch unbekannt, da die Sitzung beendet wurde, bevor sie ihre Attacke vorantreiben konnten.
Artic Wolf empfiehlt, die SimpleHelp-Client-Software aus Ad-hoc-Support-SItzungen zu deinstallieren, Passwörter auf SimpleHelp-Servern zu ändern und den Zugriff auf vertrauenswürdige IPs zu beschränken und natürlich die bereitstehenden Sicherheitsupdates zu installieren.
Themenseite zu Cyberangriffen auf heise online
(dmk)
