ランサムウェア攻撃者が、未パッチのSimpleHelpリモート監視・管理ツールを悪用し、公共料金請求ソフトウェアプロバイダーを侵害
サイバーセキュリティーインフラストラクチャーセキュリティー(CISA)は、ランサムウェアーのアクターがSimpleHelpリモートモニタリングおよびマネジメント(RMM)の脆弱性を悪用してユーティリティー請求ソフトウェアーの顧客を攻撃していることに応じてアドバイザリーを公開している。ランサムウェアーのアクターは、2025年1月以来、パッチが適用されていないSimpleHelp RMMのバージョンを標的としている。SimpleHelpのバージョン5.5.7 以前には、パス・トラバーサル・脆弱性であるCVE-2024-57727 を含む複数の脆弱性が含まれている。CISAは、2025年2月13日にCVE-2024-57727を既知の脆弱性カタログ(KEV)に追加した。CISAは、ソフトウェアーベンダー、ダウンストリームの顧客、およびエンドユーザーに対し、確認された侵害や侵害のリスクに基づいて、推奨される緩和策を直ちに実施することを要請している。緩和策には、SimpleHelpサーバーインスタンスをインターネットから分離するか、サーバープロセスを停止する、SimpleHelpの最新バージョンにアップグレードアクションを実施する、および侵害の証拠を探索することなどが含まれる。CISAはまた、リスクを低減するために、ロバストな資産インベントリーの維持、システムの日次バックアップの実施、およびサードパーティーベンダーとのオープンなコミュニケーションチャネルを設立するなどのプロアクティブな緩和策を実施することを推奨している。如果システムがランサムウェアーによって暗号化された場合、CISAは、影響を受けたシステムをインターネットから切断し、オペレーティングシステムを再インストールし、システムを消去し、クリーンなバックアップからデータを復元することを推奨している。