ผู้ไม่หวังดีกำลังใช้ช่องโหว่ในซอฟต์แวร์ SimpleHelp Remote Monitoring and Management (RMM) ที่เพิ่งได้รับการแก้ไข เพื่อเข้าถึงเครือข่ายของเป้าหมายในเบื้องต้น
ช่องโหว่ CVE-2024-57726, CVE-2024-57727 และ CVE-2024-57728 ทำให้ผู้ไม่หวังดีสามารถดาวน์โหลด และอัปโหลดไฟล์บนอุปกรณ์ รวมถึงการยกระดับสิทธิ์เป็นผู้ดูแลระบบได้
ช่องโหว่เหล่านี้ถูกค้นพบ และเปิดเผยโดยนักวิจัยจาก Horizon3 เมื่อสองสัปดาห์ก่อน โดย SimpleHelp ได้ปล่อยอัปเดตแพตซ์แก้ไขช่องโหว่ระหว่างวันที่ 8 ถึง 13 มกราคม ในเวอร์ชัน 5.5.8, 5.4.10, และ 5.3.9.
Arctic Wolf รายงานถึงการโจมตีที่กำลังดำเนินการอยู่ ซึ่งมุ่งเป้าไปที่เซิร์ฟเวอร์ SimpleHelp โดยการโจมตีเริ่มต้นประมาณหนึ่งสัปดาห์หลังจากที่มีการเปิดเผยช่องโหว่ของ Horizon3
บริษัทด้านความปลอดภัยยังไม่สามารถยืนยันได้ 100% ว่าการโจมตีที่เกิดขึ้นใช้ช่องโหว่เหล่านี้หรือไม่ แต่พวกเขาเชื่อมโยงการสังเกตการณ์กับรายงานของ Horizon3 โดยมีความมั่นใจในระดับปานกลาง
รายงานระบุว่า แม้ว่ายังไม่สามารถยืนยันได้ว่าช่องโหว่ที่ถูกเปิดเผยล่าสุดเป็นสาเหตุของการโจมตี แต่ Arctic Wolf แนะนำให้ผู้ใช้งานทำการอัปเกรดไปยังเวอร์ชันล่าสุดที่มีการแก้ไขช่องโหว่ของซอฟต์แวร์เซิร์ฟเวอร์ SimpleHelp เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น
Arctic Wolf แนะนำให้ถอนการติดตั้งซอฟต์แวร์ SimpleHelp หากก่อนหน้านี้เคยติดตั้งไว้บนอุปกรณ์เพื่อรองรับการสนับสนุนจาก third-party เพื่อช่วยความเสี่ยงจากการโจมตีที่อาจเกิดขึ้น
แพลตฟอร์มการตรวจสอบภัยคุกคาม Shadowserver Foundation รายงานว่า พบตัวอย่างที่มีช่องโหว่จำนวน 580 รายการที่เปิดให้เข้าถึงได้ทางอินเทอร์เน็ต โดยส่วนใหญ่ (345 รายการ) ตั้งอยู่ในสหรัฐอเมริกา
การโจมตีที่เกิดขึ้นจริง
Arctic Wolf รายงานว่า "Remote Access.exe" process ของ SimpleHelp ทำงานอยู่ใน background ก่อนการโจมตี ซึ่งแสดงให้เห็นว่า SimpleHelp ถูกติดตั้งไว้ก่อนหน้านี้เพื่อรองรับการสนับสนุนจากระยะไกลบนอุปกรณ์เหล่านั้น
สัญญาณแรกของการถูกโจมตีคือการที่ SimpleHelp clients บนอุปกรณ์เป้าหมายเชื่อมต่อกับเซิร์ฟเวอร์ SimpleHelp ที่ไม่ได้รับอนุญาต
เหตุการณ์นี้อาจเกิดขึ้นโดยการที่ผู้โจมตีใช้ช่องโหว่ใน SimpleHelp เพื่อควบคุม clients หรือใช้ข้อมูล credential ที่ถูกขโมยมาทำการ hijack การเชื่อมต่อ
เมื่อเข้าสู่ระบบได้แล้ว ผู้โจมตีจะดำเนินการรันคำสั่ง cmd.exe เช่น 'net' และ 'nltest' เพื่อรวบรวมข้อมูลเกี่ยวกับระบบ รวมถึงรายการ user accounts, groups, shared resources และ domain controllers และทดสอบการเชื่อมต่อของ Active Directory
ขั้นตอนเหล่านี้เป็นขั้นตอนทั่วไป ก่อนที่จะทำการยกระดับสิทธิ์ และขยายการโจมตีบนระบบ อย่างไรก็ตาม Arctic Wolf ระบุว่าการเชื่อมต่อที่เป็นอันตรายถูกตัดขาดก่อนที่จะสามารถระบุได้ว่าผู้โจมตีจะดำเนินการอะไรต่อไป
ขอแนะนำให้ผู้ที่ใช้งาน SimpleHelp อัปเกรดเป็นเวอร์ชันล่าสุดที่แก้ไขช่องโหว่ CVE-2024-57726, CVE-2024-57727 และ CVE-2024-57728
ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการอัปเดตแพตซ์ด้านความปลอดภัย และการตรวจสอบว่าแพตช์พร้อมใช้งานหรือไม่ สามารถดูได้ในแถลงการณ์ของ SimpleHelp
หากเคยติดตั้ง SimpleHelp clients ในอดีตเพื่อรองรับการสนับสนุนจากระยะไกล แต่ไม่จำเป็นต้องใช้งานแล้ว ควรลบการติดตั้งจากระบบเพื่อลดความเสี่ยงจากการถูกโจมตี
ที่มา : bleepingcomputer
You must be logged in to post a comment.