Des acteurs de ransomware exploitent une version non corrigée de SimpleHelp, un logiciel de surveillance et de gestion à distance, pour compromettre un fournisseur de logiciels de facturation de services publics
L'Agence de la cybersécurité et de la sécurité des infrastructures (CISA) publie un avis en réponse aux acteurs de ransomware qui utilisent des instances non corrigées d'une vulnérabilité dans SimpleHelp Remote Monitoring and Management (RMM) pour compromettre les clients d'un fournisseur de logiciel de facturation d'utilité. Les acteurs de ransomware ciblent les organisations depuis janvier 2025 à travers des versions non corrigées de SimpleHelp RMM. Les versions 5.5.7 de SimpleHelp et antérieures contiennent plusieurs vulnérabilités, notamment CVE-2024-57727, qui est une vulnérabilité de traversal de chemin. La CISA a ajouté CVE-2024-57727 à son catalogue des vulnérabilités exploitées connues (KEV) le 13 février 2025. La CISA exhorte les vendeurs de logiciels, les clients en aval et les utilisateurs finaux à mettre en œuvre immédiatement les mesures d'atténuation recommandées en cas de compromission confirmée ou de risque de compromission. Les mesures d'atténuation incluent l'isolement de l'instance du serveur SimpleHelp de l'internet ou l'arrêt du processus du serveur, la mise à jour vers la dernière version de SimpleHelp et la réalisation d'actions de chasse aux menaces pour détecter des signes de compromission. La CISA recommande également la mise en œuvre de mesures d'atténuation proactives pour réduire les risques, comme la tenue d'un inventaire des actifs robuste, la réalisation de sauvegardes système quotidiennes et l'établissement de canaux de communication ouverts avec les fournisseurs tiers. Si un système a été chiffré par du ransomware, la CISA recommande de déconnecter le système affecté de l'internet, de réinstaller le système d'exploitation, de nettoyer le système et de restaurer les données à partir d'une sauvegarde propre.