Cibersegurança em risco

Hackers exploram falhas no SimpleHelp para ataques às redes

Hackers estão aproveitando vulnerabilidades no SimpleHelp RMM para invadir redes, explorando falhas críticas já corrigidas. Atualizar o software ou desinstalá-lo é essencial para proteção.

Hackers estão explorando falhas críticas no software SimpleHelp Remote Monitoring and Management (RMM) para obter acesso inicial a redes alvo, expondo empresas a sérios riscos de segurança. As vulnerabilidades, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitem ações como download e upload de arquivos em dispositivos e escalonamento de privilégios para níveis administrativos.

Hackers aproveitam brechas no SimpleHelp para ataques direcionados

imagem de hacker

Essas falhas foram descobertas por pesquisadores do Horizon3 e divulgadas publicamente há duas semanas. A SimpleHelp já lançou atualizações de segurança para corrigir os problemas nas versões 5.5.8, 5.4.10 e 5.3.9 do software, entre os dias 8 e 13 de janeiro de 2025.

De acordo com a empresa de segurança Arctic Wolf, uma campanha ativa visando servidores SimpleHelp foi detectada cerca de uma semana após a divulgação das vulnerabilidades. Embora não haja confirmação total de que os ataques aproveitam essas falhas específicas, a Arctic Wolf reforça a importância de atualizar o software para as versões corrigidas.

“Mesmo sem confirmação definitiva, recomendamos fortemente que os usuários atualizem para as versões mais recentes do SimpleHelp ou desinstalem o software caso ele não seja mais utilizado, reduzindo a superfície de ataque,” destacou a empresa em um relatório recente.

Impacto global das falhas

A Shadowserver Foundation revelou que pelo menos 580 instâncias vulneráveis do SimpleHelp estão expostas online, sendo 345 delas localizadas nos Estados Unidos. Esses números destacam a escala do problema e a necessidade de ação rápida para mitigar possíveis riscos.

Como os ataques acontecem

Os hackers conseguem explorar o software já instalado em dispositivos para sessões de suporte remoto, usando falhas para tomar o controle do cliente ou roubando credenciais de acesso. Após obterem acesso, eles realizam ações como:

  • Coleta de informações do sistema por meio de comandos como net e nltest;
  • Levantamento de contas de usuários, grupos e recursos compartilhados;
  • Testes de conectividade com o Active Directory.

Essas ações são geralmente passos preliminares antes de ataques mais graves, como escalonamento de privilégios e movimentação lateral na rede.

Recomendações para proteção

  1. Atualize imediatamente: Certifique-se de instalar as versões corrigidas do SimpleHelp (5.5.8, 5.4.10 ou 5.3.9) para fechar as brechas de segurança.
  2. Desinstale, se necessário: Caso o SimpleHelp não esteja sendo usado regularmente, remova-o dos dispositivos para reduzir a exposição a ataques.
  3. Monitore acessos: Fique atento a comunicações entre o cliente SimpleHelp e servidores não aprovados, que podem indicar atividade suspeita.

Mais informações sobre o processo de atualização podem ser encontradas no boletim oficial do SimpleHelp.

Adotar essas medidas é essencial para proteger redes contra ataques cada vez mais sofisticados que exploram softwares vulneráveis.