Ransomware-Akteure nutzen unpatchte SimpleHelp-Fernüberwachungs- und -verwaltung, um Anbieter von Stromrechnungssoftware zu kompromittieren
Die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht eine Warnung als Reaktion auf Ransomware-Akteure, die ungepatchte Instanzen einer Sicherheitslücke in SimpleHelp Remote Monitoring and Management (RMM) ausnutzen, um Kunden eines Softwareanbieters für Versorgungsabrechnungen zu kompromittieren. Ransomware-Akteure zielen seit Januar 2025 auf Organisationen über ungepatchte Versionen von SimpleHelp RMM ab. SimpleHelp Versionen 5.5.7 und älter enthalten mehrere Sicherheitslücken, darunter CVE-2024-57727, eine Path-Traversal-Schwachstelle. CISA hat CVE-2024-57727 am 13. Februar 2025 in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. CISA fordert Softwareanbieter, nachgeschaltete Kunden und Endbenutzer dringend auf, die empfohlenen Maßnahmen unverzüglich umzusetzen, basierend auf bestätigten Kompromittierungen oder dem Risiko einer Kompromittierung. Zu den Maßnahmen gehören das Isolieren der SimpleHelp-Serverinstanz vom Internet oder das Stoppen des Serverprozesses, das Aktualisieren auf die neueste SimpleHelp-Version und das Durchführen von Threat-Hunting-Aktionen, um Anzeichen einer Kompromittierung zu finden. CISA empfiehlt außerdem die Implementierung proaktiver Maßnahmen zur Risikoreduzierung, wie z. B. die Pflege eines soliden Asset-Inventars, die Durchführung täglicher System-Backups und die Einrichtung offener Kommunikationskanäle mit Drittanbietern. Wenn ein System durch Ransomware verschlüsselt wurde, empfiehlt CISA, das betroffene System vom Internet zu trennen, das Betriebssystem neu zu installieren, das System zu bereinigen und Daten aus einem sauberen Backup wiederherzustellen.