Hackers estão explorando falhas críticas no software SimpleHelp Remote Monitoring and Management (RMM) para obter acesso inicial a redes alvo, expondo empresas a sérios riscos de segurança. As vulnerabilidades, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitem ações como download e upload de arquivos em dispositivos e escalonamento de privilégios para níveis administrativos.
Hackers aproveitam brechas no SimpleHelp para ataques direcionados
Essas falhas foram descobertas por pesquisadores do Horizon3 e divulgadas publicamente há duas semanas. A SimpleHelp já lançou atualizações de segurança para corrigir os problemas nas versões 5.5.8, 5.4.10 e 5.3.9 do software, entre os dias 8 e 13 de janeiro de 2025.
De acordo com a empresa de segurança Arctic Wolf, uma campanha ativa visando servidores SimpleHelp foi detectada cerca de uma semana após a divulgação das vulnerabilidades. Embora não haja confirmação total de que os ataques aproveitam essas falhas específicas, a Arctic Wolf reforça a importância de atualizar o software para as versões corrigidas.
“Mesmo sem confirmação definitiva, recomendamos fortemente que os usuários atualizem para as versões mais recentes do SimpleHelp ou desinstalem o software caso ele não seja mais utilizado, reduzindo a superfície de ataque,” destacou a empresa em um relatório recente.
Impacto global das falhas
A Shadowserver Foundation revelou que pelo menos 580 instâncias vulneráveis do SimpleHelp estão expostas online, sendo 345 delas localizadas nos Estados Unidos. Esses números destacam a escala do problema e a necessidade de ação rápida para mitigar possíveis riscos.
Como os ataques acontecem
Os hackers conseguem explorar o software já instalado em dispositivos para sessões de suporte remoto, usando falhas para tomar o controle do cliente ou roubando credenciais de acesso. Após obterem acesso, eles realizam ações como:
- Coleta de informações do sistema por meio de comandos como
net
enltest
; - Levantamento de contas de usuários, grupos e recursos compartilhados;
- Testes de conectividade com o Active Directory.
Essas ações são geralmente passos preliminares antes de ataques mais graves, como escalonamento de privilégios e movimentação lateral na rede.
Recomendações para proteção
- Atualize imediatamente: Certifique-se de instalar as versões corrigidas do SimpleHelp (5.5.8, 5.4.10 ou 5.3.9) para fechar as brechas de segurança.
- Desinstale, se necessário: Caso o SimpleHelp não esteja sendo usado regularmente, remova-o dos dispositivos para reduzir a exposição a ataques.
- Monitore acessos: Fique atento a comunicações entre o cliente SimpleHelp e servidores não aprovados, que podem indicar atividade suspeita.
Mais informações sobre o processo de atualização podem ser encontradas no boletim oficial do SimpleHelp.
Adotar essas medidas é essencial para proteger redes contra ataques cada vez mais sofisticados que exploram softwares vulneráveis.