Impatto Sistemico

Alto (68.84)

Sintesi

Ricercatori di sicurezza hanno recentemente rilevato le vulnerabilità CVE-2024-57726 , CVE-2024-57727 e CVE-2024-57728 relative a SimpleHelp, software di supporto remoto progettato per aiutare i professionisti IT a fornire assistenza remota ai propri clienti.

Note : ricercatori di sicurezza di ArticWolf affermano che le vulnerabilità CVE-2024-57726 , CVE-2024-57727 e CVE-2024-57728 potrebbero essere sfruttate attivamente in rete.

Descrizione e potenziali impatti

I ricercatori di sicurezza di Horizon3 hanno recentemente rilevato e dettagliato le vulnerabilità CVE-2024-57726 , CVE-2024-57727 e CVE-2024-57728 relative al prodotto SimpleHelp, software di supporto remoto progettato per aiutare i professionisti IT a fornire assistenza remota ai propri clienti.

Dettagli delle vulnerabilità

Tali vulnerabilità, qualora sfruttate, consentirebbero il download e l’upload arbitrario di file, l’esecuzione di codice arbitrario e l’elevazione dei privilegi al ruolo di amministratore del server.

Nel dettaglio:

• la CVE-2024-57726 , di tipo “Privilege Escalation”, potrebbe consentire, ad un utente malevolo con un’utenza “Technician” e bassi privilegi, di elevare i propri privilegi ad un’utenza di tipo “admin”. Ciò è dovuto alla mancanza di opportuni controlli di autorizzazione lato backend: attraverso una sequenza di chiamate di rete opportunamente predisposte un attaccante potrebbe promuovere la propria utenza ad amministratore.
• la CVE-2024-57727 , di tipo “Unauthenticated Path Traversal” – per la quale è stato registrato un recente aumento dello score EPSS da 0.09% a 0.47%, indice dell’aumento delle probabilità di sfruttamento ed in linea con quanto dichiarato dai ricercatori di sicurezza – consente a un attaccante non autenticato di prelevare file arbitrari dal server SimpleHelp. La gravità di questa vulnerabilità è acuita dal fatto che i dati di SimpleHelp sono storicizzati come file sul disco: di conseguenza l’attaccante potrebbe ottenere accesso a file sensibili, quali file di configurazione serverconfig.xml che contiene l’hash della password dell’account “SimpleHelpAdmin”, e di altri account locali “Technician”.
• la CVE-2024-57728 , di tipo “Arbitrary File Upload”, potrebbe consentire a un attaccante autenticato come “SimpleHelpAdmin” o come “Technician” con privilegi amministrativi, l’upload arbitrario di file in qualunque posizione sul SimpleServer host:
  • su server Linux: l’attaccante potrebbe sfruttare la vulnerabilità per effettuare l’upload di un file crontab al fine di ottenere l’esecuzione di codice da remoto;
  • su server Windows: l’attaccante potrebbe sovrascrivere eseguibili o librerie utilizzati da SimpleHelp, al fine di eseguire codice malevolo da remoto.

Per eventuali ulteriori approfondimenti si consiglia di consultare i link all’analisi, disponibili nella sezione Riferimenti.

Tipologia

• Arbitrary File Write/Read
• Remote Code Execution
• Privilege Escalation

Prodotti e/o versioni affette

SimpleHelp, versione 5.5.7 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Inoltre, gli sviluppatori di SimpleHelp raccomandano alle organizzazioni l’applicazione delle seguenti ulteriori azioni di mitigazione:

• cambiare la password di Amministratore del server SimpleHelp;
• cambiare le password degli account “Technician”, ove questi non accedano utilizzando un servizio di autenticazione di terze parti;
• ove possibile, limitare gli indirizzi IP consentiti per l’accesso al server SimpleHelp da parte degli utenti “Technician” e “Administrator”.