랜섬웨어 행위자, 패치되지 않은 SimpleHelp 원... 노트

랜섬웨어 행위자, 패치되지 않은 SimpleHelp 원격 모니터링 및 관리를 악용하여 공공 요금 청구 소프트웨어 공급업체를 위협

사이버 보안 및 인프라 보안 기관(CISA)은 유틸리티 청구 소프트웨어 공급업체의 고객을 타겟으로 SIMPLEHELP 원격 모니터링 및 관리(RMM)에 있는 취약점을 악용하여 랜섬웨어 행위자들이 조직을 위협하고 있다는 경고를 발행하고 있다. 랜섬웨어 행위자들은 2025년 1월부터 SIMPLEHELP RMM의 패치되지 않은 버전을 타겟으로 삼고 있다. SIMPLEHELP 버전 5.5.7 및 이전 버전에는 경로 추적 취약점인 CVE-2024-57727를 포함하여 여러 취약점이 있다. CISA는 2025년 2월 13일에 CVE-2024-57727를 알려진 취약점(KEV) 카탈로그에 추가했다. CISA는 소프트웨어 공급업체, 다운스트림 고객, 최종 사용자에게 확인된 위협 또는 위협 위험에 따라 즉시 권장 대응책을 구현할 것을 촉구하고 있다. 대응책에는 SIMPLEHELP 서버 인스턴스를 인터넷에서 분리하거나 서버 프로세스를 중단, SIMPLEHELP의 최신 버전으로 업그레이드, 위협 탐지 조치를 통해 위협 증거를 찾는 것이 포함된다. CISA는 또한 위험을 줄이기 위해 예방적 대응책을 구현할 것을 추천하고 있다. 예방적 대응책에는 강력한 자산 인벤토리 유지, 일일 시스템 백업, 제3자 공급업체와의 개방적인 의사 소통 채널을 포함한다. 시스템이 랜섬웨어에 의해 암호화된 경우 CISA는 영향을 받은 시스템을 인터넷에서 분리, 운영 체제를 다시 설치, 시스템을 지우고 깨끗한 백업에서 복원하는 것을 추천하고 있다.