详细内容或原文请订阅后点击阅览
dragonforce操作员将简单的缺陷链接到针对MSP及其客户
Sophos警告说,Dragonforce勒索软件操作员将SimpleHelp中的三个漏洞链接起来,以针对托管服务提供商。 Sophos研究人员报告说,Dragonforce勒索软件操作员利用了SimpleHelp软件中的三个链式漏洞来攻击托管服务提供商。 SimpleHelp是为IT专业人员和支持团队设计的远程支持和访问软件。它[…]
来源:Security Affairs _恶意软件dragonforce操作员将简单的缺陷链接到针对MSP及其客户
Sophos警告说,Dragonforce勒索软件操作员将SimpleHelp中的三个漏洞链接起来,以针对托管服务提供商。
Sophos研究人员报告说,Dragonforce勒索勒索软件操作员利用了SimpleHelp软件中的三个链式漏洞来攻击托管服务提供商。
SimpleHelpSimpleHelp是为IT专业人员和支持团队设计的远程支持和访问软件。它使技术人员可以远程连接并控制计算机以进行故障排除,维护和支持目的。
Sophos指出,DragonForce勒索软件操作员将三个漏洞链接为CVE-2024-57727,CVE-2024-57728和CVE-2024-57726,以便初步访问。
CVE-2024-57727 CVE-2024-57728 CVE-2024-57726第一个漏洞CVE-2024-57727(CVSS得分为7.5),是一个未经验证的路径遍历问题,允许攻击者从服务器下载任意文件。这包括敏感数据,例如ServerConfig.xml文件,其中包含Hashed管理员和技术人员密码,LDAP凭据和其他秘密,所有这些都用硬编码密钥进行了加密。第二个错误,被跟踪为CVE-2024-57728(CVSS得分为7.2),启用任意文件上传,如果攻击者获得管理员凭据,则会导致远程代码执行。对于Linux,这允许通过crontab上传执行远程命令;对于Windows,它可以启用可执行的覆盖。第三个CVE-2024-57726(CVSS得分为7.2),允许特权升级,让低特你的技术人员通过利用缺少的后端授权检查来提升管理。这可以授予对客户机器的访问,并使服务器容易受到进一步的利用。
2025年1月6日:Horizon3向SimpleHelp报告了该问题,该问题于2025年1月13日发布了补丁版本5.3.9。
报告攻击者可以下载文件,上传文件,并使用管理员特权上传,并将其访问到弱势服务器上的管理级别。