SimpleHelpは、リモートサポートツールです。
利用者の操作の補助などを目的として利用されるソフトウェアで、クロスプラットフォームでのリモートサポートソリューションとして提供されています。
いわゆるRMMと呼ばれるジャンルの製品で、RMMは、Remote Monitoring and Management(リモート監視と管理)の略です。
これまでも いろいろな種類のRMMが脅威活動に悪用されてきましたが、今回はSimpleHelpの話です。
SimpleHelpは高機能なソフトウェアです。
ソフトウェアには、いくつもの脆弱性が見つかります。
高機能なものはなおさらです。
多数の脆弱性が解消されて提供が継続されていますが、そのすべてがすべての利用環境で解消済みのものに更新がされて利用されていることは期待しにくいのが現状です。
今回、このSimpleHelpの脆弱性が組み合わされて悪用されている例が確認されました。
- 組み合わせて悪用された脆弱性
- CVE-2024-57727: 複数のパストラバーサル脆弱性
- CVE-2024-57728: 任意のファイルアップロードの脆弱性
- CVE-2024-57726: 権限昇格の脆弱性
- DragonForce
DragonForceはランサムウェアグループです。
2023年に登場した、高度で競争力の高いRaaS(ransomware-as-a-service)です。
分散型アフィリエイトブランディングモデルというスタイルでアフィリエイトの脅威活動を支援しています。
今回の事例では、このDragonForceが主体となっていると考えられています。
3つの脆弱性内容の組み合わせの凶悪さは、見てすぐに感じ取ることができるのではないでしょうか。
脅威アクターがこれらの脆弱性を連鎖させてSimpleHelpサーバへの管理者アクセス権を取得した場合、SimpleHelpクライアントソフトウェアを実行しているデバイスに侵入する可能性があります。
そもそもとしてRMMのジャンルのソフトウェアには多くの権限が必要とされるということも大いに関係していますね。
しかし、そんなに恐れる必要はないかもしれません。
これらの脆弱性は2025年1月に公表されて対策が提供されていたものです。
パッチ公開から十分な時間が経過しています。
脅威の事例によっては非常に短い期間で悪用に至っている場合もありますので、可能な限り速やかに対策を完了することが望ましいです。
しかし、それができないからといってあきらめるのではなく、定常的にできる限りすみやかに健全化していく運用体制を維持していきたいですね。
DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/
| この記事をシェア |
|
|---|
