Het Amerikaanse cyberagentschap CISA slaat alarm over een kwetsbaarheid in de software SimpleHelp die wordt gebruikt bij ransomware-aanvallen en roept organisaties op om direct maatregelen te treffen. Zo zijn klanten van een bedrijf dat facturatiesoftware levert voor energie- en waterbedrijven via het SimpleHelp-lek gecompromitteerd. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait.

Een kritiek path traversal-lek (CVE-2024-57727) in SimpleHelp maakt het mogelijk voor aanvallers om configuratiebestanden van de server te downloaden. Deze bestanden bevatten gehashte wachtwoorden van gebruikers en kunnen ook andere secrets bevatten, zoals LDAP credentials, OIDC client secrets, API keys en TOTP seeds gebruikt voor multifactorauthenticatie. SimpleHelp heeft updates uitgebracht om het probleem te verhelpen.

Onlangs meldde antivirusbedrijf Sophos dat criminelen achter de DragonForce-ransomware de SimpleHelp-server van een managed serviceprovider hadden gecompromitteerd. Vervolgens werd ransomware geïnstalleerd op de systemen van klanten die de managed serviceprovider via SimpleHelp beheert. Nu laat het CISA weten dat ook een softwareleverancier is getroffen.

De naam van deze softwareleverancier is niet bekendgemaakt, behalve dat het om een aanbieder van facturatiesoftware voor nutsbedrijven gaat. Via niet gepatchte SimpleHelp-servers konden klanten van het softwarebedrijf worden geïnfecteerd met ransomware. Het Amerikaanse cyberagentschap CISA roept organisaties op om maatregelen te nemen, aangezien SimpleHelp ook gebundeld kan zijn in andere software.

"Als SimpleHelp is ingebed of gebundeld met vendor-owned software of als een third-party serviceprovider SimpleHelp gebruikt op het netwerk van klanten, identificeer dan de gebruikte versie van de SimpleHelp-server", adviseert het CISA. Als het gaat om versie 5.5.7 of ouder die sinds januari in gebruik is moeten third-party leveranciers de SimpleHelp-server meteen van het internet halen en upgraden. Daarnaast moeten ze hun klanten waarschuwen om hun netwerken te controleren. Ook als de server niet is gecompromitteerd moet de laatste SimpleHelp-versie meteen worden geïnstalleerd.