En nyligen offentliggjord sårbarhet i SimpleHelp kan göra det möjligt för angripare att skapa obehöriga supportkonton på sårbara servrar. Säkerhetsforskare varnar för att hotaktörer kan utnyttja bristen för att få långvarig åtkomst till fjärrsupportmiljöer och potentiellt kompromettera hanterade enheter.

Problemet påverkar organisationer som använder SimpleHelp för fjärråtkomst och teknisk support. Eftersom programvaran ofta har privilegierad åtkomst till kunders system kan angripare använda sårbarheten som en väg in i större nätverk.

Sårbarhet gör det möjligt att skapa falska konton

SimpleHelp-sårbarheten beror på brister i plattformens kontohanteringsprocess. Enligt forskare kan angripare missbruka felet för att skapa nya teknikerkonton utan tillstånd.

När angripare har skapat ett falskt konto kan de logga in på SimpleHelp-servern och agera som en legitim supporttekniker. Denna åtkomst kan ge möjlighet att interagera med hanterade enheter, granska fjärrsupportsessioner och behålla långvarig närvaro i en miljö.

Säkerhetsteam har ofta svårt att upptäcka obehöriga supportkonton eftersom de kan smälta in bland legitima teknikerprofiler. Därför kan angripare förbli aktiva under lång tid innan administratörer upptäcker misstänkt aktivitet.

Fjärrsupportplattformar lockar cyberkriminella

Verktyg för fjärrövervakning och systemhantering är attraktiva mål eftersom de ger centraliserad åtkomst till stora mängder system. Ett framgångsrikt intrång kan ge angripare en direkt väg till servrar, arbetsstationer och andra kritiska resurser.

SimpleHelp har fått ökad uppmärksamhet de senaste åren efter att forskare upptäckt flera säkerhetsbrister i plattformen. Angripare har tidigare utnyttjat sårbarheter i internetexponerade SimpleHelp-installationer för att ta sig in i organisationer och utöka sin åtkomst inom nätverk.

Cyberkriminella grupper riktar ofta in sig på fjärradministrationsverktyg eftersom de minskar arbetet som krävs för att förflytta sig mellan system. I stället för att kompromettera varje enhet separat kan angripare använda betrodd hanteringsprogramvara för att nå många system via en enda plattform.

Organisationer bör uppdatera omedelbart

Administratörer bör installera tillgängliga säkerhetsuppdateringar så snart som möjligt. Fördröjda uppdateringar kan lämna sårbara servrar öppna för angripare som aktivt söker efter fjärrhanteringsprogramvara.

Säkerhetsteam bör också granska samtliga teknikerkonton och säkerställa att varje användare fortfarande är behörig. Att ta bort oanvända konton, använda starka lösenord och aktivera ytterligare autentiseringskontroller kan minska riskerna.

Organisationer bör övervaka autentiseringsloggar efter ovanlig aktivitet kopplad till kontoskapande och undersöka alla nya supportkonton som administratörer inte kan förklara. Regelbundna granskningar kan hjälpa till att upptäcka skadlig aktivitet innan angripare etablerar långvarig åtkomst.

Att begränsa administrativ åtkomst till betrodda nätverk ger ytterligare skydd. Företag som exponerar fjärrsupportservrar direkt mot internet löper större risk att utsättas för attacker.

Slutsats

SimpleHelp-sårbarheten visar vilka säkerhetsutmaningar organisationer står inför när de hanterar fjärrsupportinfrastruktur. Angripare som utnyttjar bristen kan skapa falska teknikerkonton och få obehörig åtkomst till system som hanteras via plattformen.

I takt med att programvara för fjärradministration fortsätter att spela en central roll i företagsverksamheter behöver organisationer snabbt åtgärda sårbarheter, övervaka kontoaktivitet noggrant och stärka åtkomstkontrollerna för att förhindra att angripare använder betrodda supportverktyg som ingångspunkter till större intrång.


0 svar till ”SimpleHelp-sårbarhet möjliggör falska supportkonton”