SimpleHelp RMM CVE-2024-57727

SimpleHelp — это популярная система удаленного мониторинга и управления (RMM), которую используют IT-провайдеры и системные администраторы для управления клиентскими сетями. Система позволяет удаленно подключаться к компьютерам, устанавливать обновления, мониторить состояние систем и решать проблемы без физического присутствия.

RMM-системы критически важны для современного IT-аутсорсинга — через них управляются тысячи endpoint'ов в корпоративных сетях. Именно поэтому компрометация RMM равносильна получению "мастер-ключа" ко всей IT-инфраструктуре клиента.

Трипл килл: CVE-2024-57726, CVE-2024-57727, CVE-2024-57728

В январе 2025 года были раскрыты сразу три критические уязвимости в SimpleHelp:
➡️CVE-2024-57726 — дополнительная уязвимость безопасности
➡️CVE-2024-57727 — path traversal уязвимость (основная)
➡️CVE-2024-57728 — еще одна критическая брешь

CVE-2024-57727 представляет собой path traversal уязвимость в SimpleHelp версий 5.5.7 и ранее. Path traversal позволяет атакующему "выйти" за пределы разрешенной директории, используя последовательности типа `../` для доступа к произвольным файлам системы.

❗️DragonForce
Главным эксплуататором этих уязвимостей стала группа DragonForce — не просто ransomware группировка, а целая "картельная модель" с франшизой для аффилиатов. Группа активно перестраивает ландшафт угроз после падения LockBit.

📌Связи DragonForce:
➡️Поглощение/взлом сайтов BlackLock, Mamona, RansomHub
➡️Подозрения в сотрудничестве с Scattered Spider
➡️Использование advanced техник социальной инженерии

💻Анатомия атаки на MSP
DragonForce провела sophisticated атаку на британского MSP-провайдера, используя следующую схему:

➡️Этап 1: Компрометация RMM
- Эксплуатация CVE-2024-57727 для получения доступа к SimpleHelp-серверу MSP
- Получение контроля над RMM-инфраструктурой

➡️Этап 2: Разведка и закрепление
- Пуш SimpleHelp-инсталлятора клиентам через легитимную RMM-инфраструктуру
- Сканирование инфраструктур клиентов: имена устройств, пользователей, сетевые соединения
- Использование Microsoft Quick Assist и бэкдора QDoor для бесшумного закрепления
- Пребывание в сети до 9 дней до активации шифровальщика

➡️Этап 3: Атака
- Развертывание шифровальщика и инструментов двойного вымогательства
- Использование визинга + email-бомбинга для дополнительного давления
- Массовые сбои и отключения IT в ритейле Великобритании

❗️Индикаторы компрометации (мини IoC)
CISA и исследователи выделяют следующие IoC:
➡️Исполняемые файлы с трехбуквенными именами (aaa.exe, bbb.exe, ccc.exe)
➡️Время создания файлов после января 2025 года
➡️Аномальный сетевой трафик от SimpleHelp сервера
➡️Присутствие Microsoft Quick Assist в неожиданных местах
➡️Следы QDoor бэкдора в системе

🔖Рекомендации по защите
0️⃣Обновление до версии 5.5.8+ — критически важно для всех инсталляций
1️⃣Изоляция SimpleHelp серверов от интернета до применения патча
2️⃣Аудит всех трех CVE (57726, 57727, 57728) в системе
3️⃣Проверка на QDoor и Quick Assist в неожиданных местах

❗️Для MSP и IT-провайдеров:
➡️Немедленный аудит всех клиентских подключений через SimpleHelp
➡️Проверка логов на подозрительную активность с января 2025
➡️Уведомление клиентов о необходимости threat hunting
➡️Временное отключение RMM-доступа до полной проверки

🕰Проверка компрометации:
➡️Поиск файлов с трехбуквенными именами, созданных после января 2025
➡️Анализ сетевого трафика на аномалии
➡️Проверка наличия Microsoft Quick Assist в системах, где он не должен быть
➡️Поиск следов QDoor бэкдора

Долгосрочные меры:
➡️Внедрение Zero Trust архитектуры для RMM-систем
➡️Сегментация сети между RMM и критическими системами
➡️Мониторинг всех RMM-подключений в реальном времени
➡️Создание incident response плана для RMM-компрометации

💬Выводы
CVE-2024-57727 и связанные уязвимости показывают, что в эпоху cloud-first и remote-first подходов, безопасность управляющих систем должна быть приоритетом номер один.