W skrócie
- Główne zalety i wady opisane w artykule
- Kto powinien rozważyć ten sprzęt lub rozwiązanie
- Kluczowe parametry techniczne
Złamani przez ransomware: błędy w simplehelp miażdżą dostawców oprogramowania rachunkowego!
Cyberprzestępcy uderzają w słaby punkt: Niezałatane SimpleHelp kluczem do ataków na firmy
Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała ostrzeżenie, które powinno zaniepokoić wiele firm. Okazuje się, że cyberprzestępcy z powodzeniem wykorzystują niezałatane luki w popularnym oprogramowaniu SimpleHelp Remote Monitoring and Management (RMM), aby uzyskać dostęp do dostawców oprogramowania do rozliczeń z sektora użyteczności publicznej. Ten schemat działania nie jest nowy – od stycznia 2025 roku obserwujemy ciągły trend ataków ransomware wykorzystujących właśnie nieaktualne wersje SimpleHelp RMM.
Spis treści
Gdzie tkwi problem? Kluczowa luka CVE-2024-57727
Serce problemu tkwi w wersjach SimpleHelp 5.5.7 i starszych, które zawierają szereg luk bezpieczeństwa. Szczególnie niebezpieczna jest ta oznaczona jako CVE-2024-57727, która umożliwia tzw. path traversal. Pozwala to atakującym na swobodne poruszanie się po strukturze systemu i potencjalnie uzyskanie dostępu do wrażliwych danych klientów. CISA dodała tę lukę do swojego katalogu znanych i wykorzystywanych luk (KEV) już 13 lutego 2025 roku, co podkreśla jej powagę i pilność działań.
Wdrożone przez cyberprzestępców metody, prawdopodobnie wykorzystujące wspomnianą lukę CVE-2024-57727, prowadzą do zakłócenia usług oferowanych przez zaatakowanych dostawców. Co gorsza, dochodzi do tzw. podwójnego wymuszenia (double extortion), gdzie dane nie tylko są szyfrowane, ale także grozi się ich ujawnieniem. CISA apeluje do wszystkich producentów oprogramowania, ich klientów oraz użytkowników końcowych o natychmiastowe wdrożenie zaleceń bezpieczeństwa, które pomogą zabezpieczyć się przed potencjalnym lub już zaistniałym atakiem.
Co robić? Konkretne kroki dla bezpieczeństwa
CISA proponuje zestaw działań, które pomogą zminimalizować ryzyko. Dotyczą one zarówno dostawców oprogramowania, jak i bezpośrednich użytkowników:
- Dla dostawców korzystających z SimpleHelp:
- Zlokalizujcie serwer SimpleHelp i sprawdźcie jego wersję w pliku
configuration/serverconfig.xml. - Jeśli wersja to 5.5.7 lub starsza, natychmiast odizolujcie serwer od internetu lub zatrzymajcie jego proces.
- Zaktualizujcie SimpleHelp do najnowszej wersji zgodnie z zaleceniami producenta.
- Skontaktujcie się z Waszymi klientami, aby poinformować ich o zagrożeniu i zalecić im podjęcie odpowiednich kroków w celu zabezpieczenia ich systemów i przeprowadzenia działań związanych z polowaniem na zagrożenia (threat hunting).
- Zlokalizujcie serwer SimpleHelp i sprawdźcie jego wersję w pliku
- Dla klientów i użytkowników końcowych:
- Sprawdźcie, czy na Waszych systemach działa niezałatana wersja SimpleHelp RMM, bezpośrednio lub jako część innego oprogramowania.
- Sprawdzenie serwerów SimpleHelp: Wykonajcie zapytanie HTTP do serwera z dopiskiem
/allversions(np.https://simple-help.com/allversions), aby poznać jego wersję. - Jeśli wykryjecie niezabezpieczoną wersję, przeprowadźcie analizę zagrożeń w poszukiwaniu śladów kompromitacji i monitorujcie nietypowy ruch sieciowy.
- Nawet jeśli nie znaleziono śladów ataku, natychmiast zaktualizujcie oprogramowanie!
- W przypadku potwierdzenia szyfrowania danych przez ransomware, odłączcie system od sieci, przeprowadźcie czystą instalację systemu operacyjnego i przywróćcie dane z bezpiecznej kopii zapasowej.
CISA podkreśla również znaczenie proaktywnych działań, takich jak utrzymywanie dokładnej inwentaryzacji zasobów, tworzenie regularnych, offline kopii zapasowych (pamiętajcie, aby je odłączyć po zakończeniu backupu!), unikanie eksponowania usług zdalnych na świat, a także prowadzenie analizy ryzyka związanego z oprogramowaniem RMM. Warto również budować otwarte kanały komunikacji z dostawcami, aby być na bieżąco z ich procesami zarządzania poprawkami. A dla producentów oprogramowania, integracja SBOM (Software Bill of Materials) może znacząco przyspieszyć proces zarządzania lukami. Jeśli macie podejrzenia co do stanu Waszych komputerów, zapraszamy do skorzystania z naszego narzędzia: Sprawdź swój komputer online. Również w przypadku smartfonów, które mogą być częścią sieci firmowej, warto zadbać o ich bezpieczeństwo: Darmowy test telefonu.
Pamiętajcie, że płacenie okupu nie gwarantuje odzyskania danych i tylko zachęca przestępców do dalszych działań. Zgłaszajcie incydenty ransomware odpowiednim służbom!
