Los investigadores de ciberseguridad han revelado múltiples fallas de seguridad en el software de acceso remoto SimpleHelp que podrían conducir a la divulgación de información, escalada de privilegios y ejecución remota de código.
El investigador de Horizon3.ai, Naveen Sunkavally, en un informe técnico Al detallar los hallazgos, dijo que “las vulnerabilidades son triviales de revertir y explotar”.
La lista de fallas identificadas es la siguiente:
- CVE-2024-57727 – Una vulnerabilidad de recorrido de ruta no autenticada que permite a un atacante descargar archivos arbitrarios desde el servidor SimpleHelp, incluido el archivo serverconfig.xml que contiene contraseñas hash para la cuenta SimpleHelpAdmin y otras cuentas de técnicos locales.
- CVE-2024-57728 – Una vulnerabilidad de carga de archivos arbitrarios que permite a un atacante con privilegios SimpleHelpAdmin (o como técnico con privilegios de administrador) cargar archivos arbitrarios en cualquier lugar del host SimpleServer, lo que podría provocar la ejecución remota de código.
- CVE-2024-57726 – Una vulnerabilidad de escalada de privilegios que permite a un atacante que obtiene acceso como técnico con pocos privilegios elevar sus privilegios a administrador aprovechando las comprobaciones de autorización de backend faltantes.
En un escenario de ataque hipotético, un mal actor podría encadenar CVE-2024-57726 y CVE-2024-57728 para convertirse en un usuario administrador y cargar cargas útiles arbitrarias para tomar el control del servidor SimpleHelp.
Horizon3.ai dijo que está ocultando detalles técnicos adicionales sobre las tres vulnerabilidades dada su importancia y la facilidad de su uso como arma. Tras la divulgación responsable el 6 de enero de 2025, las fallas se abordaron en Versiones de SimpleHelp 5.3.9, 5.4.10 y 5.5.8 lanzado el 8 y 13 de enero.
Dado que se sabe que los actores de amenazas aprovechan las herramientas de acceso remoto para establecer un acceso remoto persistente a los entornos de destino, es crucial que los usuarios actúen rápidamente para aplicar los parches.
Además, SimpleHelp recomienda que los usuarios cambien la contraseña de administrador del servidor SimpleHelp, roten las contraseñas de las cuentas de técnico y restrinjan las direcciones IP desde las que el servidor SimpleHelp puede esperar inicios de sesión de técnico y administrador.
About the Author
