攻击者通过利用SimpleHelp远程监控与管理（RMM）工具中的漏洞，成功入侵了一家公用事业软件计费服务提供商的客户系统。网络安全和基础设施安全局（CISA）发布的新公告警告称，此事件反映出勒索组织自2025年1月以来针对未修复版本SimpleHelp RMM的广泛攻击模式。

SimpleHelp 5.5.7及更早版本存在多个漏洞，其中包括路径遍历漏洞CVE-2024-57727。CISA指出：“勒索组织很可能利用CVE-2024-57727漏洞访问下游客户未修复的SimpleHelp RMM工具，通过双重勒索手段破坏服务。” 所有软件供应商、下游客户及终端用户均被敦促立即核查是否因该漏洞遭受入侵，并采取缓解措施。

漏洞利用详情

路径遍历漏洞CVE-2024-57727于2025年1月公开，并于同年2月13日被列入CISA已知可利用漏洞（KEV）目录。该漏洞可使未经认证的远程攻击者通过构造特殊HTTP请求，从SimpleHelp主机下载任意文件（包括含有机密信息和哈希用户密码的服务器配置文件）。

2025年5月，Sophos研究人员观察到DragonForce勒索软件通过组合利用CVE-2024-57727及同期披露的另外两个漏洞（CVE-2024-57728：允许管理员用户通过上传特制压缩包在文件系统任意位置写入文件的高危漏洞；CVE-2024-57726：允许低权限技术人员创建越权API密钥的严重漏洞）入侵多个客户网络。加密数据后，攻击者采用双重勒索策略，在索要赎金的同时威胁泄露窃取数据。CISA未透露攻击公用事业软件提供商的勒索组织名称。

防护措施

CISA针对不同主体提出建议：

1.软件供应商

若供应商自有软件中嵌入了SimpleHelp，或第三方服务提供商在下游客户网络中部署了SimpleHelp，应核查服务器版本（位于配置文件顶部）。若发现自2025年1月以来使用过5.5.7或更早版本，需立即执行：

• 隔离SimpleHelp服务器实例与互联网连接或停止服务器进程
• 升级至最新版本修复漏洞
• 通知所有下游客户并指导其加固终端设备，同时在网络中开展威胁狩猎
  

2.下游客户与终端用户

下游客户需立即核查系统是否直接或通过第三方软件间接运行未修复的SimpleHelp RMM。

若发现存在SimpleHelp，可通过向服务器发起HTTP查询确认版本。若确认系统存在5.5.7或更早版本，组织应：

• 开展威胁狩猎行动寻找入侵证据
• 持续监控SimpleHelp服务器的异常进出流量
• 若未发现入侵痕迹，立即升级至最新版本；若无法立即修复则应用临时解决方案
  

补充说明

SimpleHelp Ltd公司已发布移动端远程支持工具，但该应用与此次漏洞无关。CISA强调，及时升级和主动监控是应对此类供应链攻击的关键防线。

HackerNews 编译，转载请注明出处：

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文