Sicherheitslücken in der Fernwartungssoftware SimpleHelp RMM stehen im Fokus krimineller Aktivitäten. Einem Bericht der IT-Sicherheitsforscher von Arctic Wolf zufolge wurden kürzlich Angriffe beobachtet. Diese Angriffe nutzen gezielt Schwachstellen in der Software aus um unbefugten Zugang zu PCs und Netzwerken zu erlangen.
Entdeckung durch Horizon3.ai
Wenige Tage vor der bemerkenswerten Entdeckung der Kampagne gingen die Forscher von Horizon3.ai aktiv gegen Sicherheitslücken in SimpleHelp RMM vor. Sie entdeckten insgesamt drei Schwachstellen und machten diese öffentlich. Eine dieser Schwachstellen ist besonders ernst – sie führt zur Rechteausweitung von niedrig privilegierten Technikerzugängen zu Server-Admin-Rechten. Dies wird als CVE-2024-57726 klassifiziert und mit einem CVSS-Wert von 9.9 als „kritisch“ eingestuft.
Weitere Schwachstellen identifiziert
Zusätzlich zu der kritischen Schwachstelle gibt es zwei weitere. Die zweite Schwachstelle (CVE-2024-57727) erlaubt Angreifern, beliebige Dateien ohne vorherige Anmeldung direkt vom SimpleHelp-Server herunterzuladen. Dies wird von Horizon3.ai als die gravierendste Lücke angesehen trotzdem ist die CVSS-Einstufung mit 7.5 als hoch nicht zu vernachlässigen. Die dritte Schwachstelle (CVE-2024-57728) ermöglicht das Hochladen von Dateien an willkürliche Stellen auf dem Server. Besonders gefährlich wird es, wenn der Nutzer die Admin-Rechte hat. Auf Linux-Systemen können gefährliche Akteure durch das Hochladen von crontab-Dateien per Fernzugriff Befehle ausführen.
Notwendigkeit der Aktualisierung
Die betroffenen Versionen von SimpleHelp RMM, darunter 5.3.9, 5.4.10 und 5.5.8, müssen dringend aktualisiert werden. IT-Verantwortliche die dies noch nicht getan haben, sollten sofort handeln. Die Sicherheitsupdates schließen die oben genannten Lücken.
Analyse eines Einbruchs
Arctic Wolf analysierte einen spezifischen Einbruch und fand heraus, dass die „Remote Access.exe“ von SimpleHelp bereits lief. Dies war das Ergebnis einer früheren Support-Sitzung. Die Forscher entdeckten als erstes Anzeichen einer Kompromittierung verschiedene Kommunikationsversuche mit einer nicht genehmigten Server-Instanz. Während dieser Sitzung verwendeten die Angreifer die Befehlszeile (cmd.exe) und abriefen Informationen über Konten und ebenfalls Domain-Daten. Diese Tools sind in Windows vorinstalliert und erleichtern Angreifern das Vorgehen.
Empfehlungen zur sicheren Nutzung
Die Ziele der Angreifer blieben unbekannt, da ihre Sitzung vorzeitig beendet wurde. Arctic Wolf empfiehlt daher die SimpleHelp-Client-Software nach Ad-hoc-Support-Sitzungen zu deinstallieren. Zudem sollten Passwörter für SimpleHelp-Server geändert und der Zugriff auf vertrauenswürdige IPs beschränkt werden. Letztendlich ist die Installation von Sicherheitsupdates unabdingbar.
Insgesamt ist die Situation hinsichtlich der Sicherheit von SimpleHelp RMM besorgniserregend. IT-Experten müssen Wachsamkeit zeigen und notwendige Maßnahmen zur Risikominderung ergreifen.
Kommentare