出典: Andreas Prott via Alamy Stock Photo
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、下流の顧客を標的としたランサムウェア攻撃の波を受けて、SimpleHelpの顧客に既知の脆弱性を修正するよう促しています。
クリティカルなパス トラバーサルの脆弱性は、CVE-2024-57727として追跡されており、SimpleHelpのリモートモニタリングおよび管理(RMM)ツールのバージョン5.5.7以前に影響を与えます。これが悪用されると、認証されていない攻撃者がSimpleHelpホストから任意のファイルをダウンロードでき、設定ファイルやハッシュ化されたユーザーパスワードなどの機密データを含む可能性があります。
この欠陥は1月に公開され、数日後にパッチがリリースされました。しかし、多くのインスタンスが依然として脆弱なままであるようです。
6月12日の勧告で、CISAはランサムウェア集団がCVE-2024-57727を悪用して「ユーティリティ請求ソフトウェアプロバイダーの下流顧客を侵害している」と明らかにしました。さらに懸念されるのは、SimpleHelpが攻撃者にとって人気のターゲットとなっているという脅威活動であり、特に危険なのは、リモートサポートを提供しているため、下流の顧客に対するサプライチェーン攻撃を実行する鍵となることです。
「この事件は、2025年1月以降、SimpleHelp RMMの未修正バージョンを通じて組織を標的とするランサムウェアの広範なパターンを反映しています」とCISAは勧告で書いており、攻撃者が「二重恐喝の妥協でサービスを妨害している」と付け加えています。
緩和策を「直ちに」適用
悪用活動は継続しているようで、多くのSimpleHelpの顧客が未修正のままです。CVE-2024-57727は、SimpleHelpバージョン5.5.7以前に影響を与える「いくつかの」脆弱性の1つでもあるとCISAは警告しています。
SimpleHelpはサードパーティのソフトウェア製品に組み込まれたり、バンドルされたりすることがあります。そのため、CISAはサードパーティのベンダー、下流の顧客、およびエンドユーザーに対して、アップグレードやパッチの適用、SimpleHelpサーバーインスタンスをインターネットから隔離するなど、いくつかの緩和策を「直ちに」適用するよう指示しました。緩和策はすべての重要インフラ組織に適用されるとCISAは付け加えました。
連邦機関はまた、SimpleHelpを一般的に使用するサードパーティのベンダーやマネージドサービスプロバイダー(MSP)に対して、積極的な対策を講じるよう促しました。1つの推奨事項は、製品にソフトウェア部品表(SBOM)を統合することの重要性が増していることを強調しました。SBOMは、最初から導入される脆弱性の数を減らすことで、サプライチェーンのセキュリティを強化することを目的としています。
ランサムウェア攻撃に対抗するためには、データ復旧のための効果的なバックアップを維持し、攻撃者が初期アクセスを得るために使用するリモートデスクトッププロトコル(RDP)がインターネットに露出しないようにすることが重要です。サードパーティのベンダーとのコミュニケーションも重要で、彼らが効果的なRMMセキュリティコントロールを持っていることを確認する必要があります。CISAの勧告は、被害者に身代金を支払うことを奨励しないと組織に思い起こさせました。