Fsecurity | HH

SimpleHelp RMM CVE-2024-57727 SimpleHelp — это популярная система удаленного мониторинга и управления (RMM), которую используют IT-провайдеры и системные администраторы для управления клиентскими сетями. Система позволяет удаленно подключаться к компьютерам, устанавливать обновления, мониторить состояние систем и решать проблемы без физического присутствия. RMM-системы критически важны для современного IT-аутсорсинга — через них управляются тысячи endpoint'ов в корпоративных сетях. Именно поэтому компрометация RMM равносильна получению "мастер-ключа" ко всей IT-инфраструктуре клиента. Трипл килл: CVE-2024-57726, CVE-2024-57727, CVE-2024-57728 В январе 2025 года были раскрыты сразу три критические уязвимости в SimpleHelp: ➡️CVE-2024-57726 — дополнительная уязвимость безопасности ➡️CVE-2024-57727 — path traversal уязвимость (основная) ➡️CVE-2024-57728 — еще одна критическая брешь CVE-2024-57727 представляет собой path traversal уязвимость в SimpleHelp версий 5.5.7 и ранее. Path traversal позволяет атакующему "выйти" за пределы разрешенной директории, используя последовательности типа `../` для доступа к произвольным файлам системы. ❗️DragonForce Главным эксплуататором этих уязвимостей стала группа DragonForce — не просто ransomware группировка, а целая "картельная модель" с франшизой для аффилиатов. Группа активно перестраивает ландшафт угроз после падения LockBit. 📌Связи DragonForce: ➡️Поглощение/взлом сайтов BlackLock, Mamona, RansomHub ➡️Подозрения в сотрудничестве с Scattered Spider ➡️Использование advanced техник социальной инженерии 💻Анатомия атаки на MSP DragonForce провела sophisticated атаку на британского MSP-провайдера, используя следующую схему: ➡️Этап 1: Компрометация RMM - Эксплуатация CVE-2024-57727 для получения доступа к SimpleHelp-серверу MSP - Получение контроля над RMM-инфраструктурой ➡️Этап 2: Разведка и закрепление - Пуш SimpleHelp-инсталлятора клиентам через легитимную RMM-инфраструктуру - Сканирование инфраструктур клиентов: имена устройств, пользователей, сетевые соединения - Использование Microsoft Quick Assist и бэкдора QDoor для бесшумного закрепления - Пребывание в сети до 9 дней до активации шифровальщика ➡️Этап 3: Атака - Развертывание шифровальщика и инструментов двойного вымогательства - Использование визинга + email-бомбинга для дополнительного давления - Массовые сбои и отключения IT в ритейле Великобритании ❗️Индикаторы компрометации (мини IoC) CISA и исследователи выделяют следующие IoC: ➡️Исполняемые файлы с трехбуквенными именами (aaa.exe, bbb.exe, ccc.exe) ➡️Время создания файлов после января 2025 года ➡️Аномальный сетевой трафик от SimpleHelp сервера ➡️Присутствие Microsoft Quick Assist в неожиданных местах ➡️Следы QDoor бэкдора в системе 🔖Рекомендации по защите 0️⃣Обновление до версии 5.5.8+ — критически важно для всех инсталляций 1️⃣Изоляция SimpleHelp серверов от интернета до применения патча 2️⃣Аудит всех трех CVE (57726, 57727, 57728) в системе 3️⃣Проверка на QDoor и Quick Assist в неожиданных местах ❗️Для MSP и IT-провайдеров: ➡️Немедленный аудит всех клиентских подключений через SimpleHelp ➡️Проверка логов на подозрительную активность с января 2025 ➡️Уведомление клиентов о необходимости threat hunting ➡️Временное отключение RMM-доступа до полной проверки 🕰Проверка компрометации: ➡️Поиск файлов с трехбуквенными именами, созданных после января 2025 ➡️Анализ сетевого трафика на аномалии ➡️Проверка наличия Microsoft Quick Assist в системах, где он не должен быть ➡️Поиск следов QDoor бэкдора Долгосрочные меры: ➡️Внедрение Zero Trust архитектуры для RMM-систем ➡️Сегментация сети между RMM и критическими системами ➡️Мониторинг всех RMM-подключений в реальном времени ➡️Создание incident response плана для RMM-компрометации 💬Выводы CVE-2024-57727 и связанные уязвимости показывают, что в эпоху cloud-first и remote-first подходов, безопасность управляющих систем должна быть приоритетом номер один.

🖥 Play with Docker В поисках полезной информации нашел интересные площадки для DevOps Это полностью бесплатные интерактивные платформы для тестирования и обучения 🖼️ Docker и 🖼️ Kubernetes Есть теория и различные практические задания 🔗 Play with Docker 🔗 Play with Kubernetes ✍️ Training Docker ✍️ Training Kubernetes 💻 Repo #docker #kubernetes #devops ✈️ Whitehat Lab 💬Chat

🔗Ссылка: https://opennet.ru/63531/

🔗Ссылка: https://opennet.ru/63530/

🔗Ссылка: https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://opennet.ru/63527/

🔗Ссылка: https://mrd0x.com/filefix-part-2/

🔗Ссылка: https://www.securitylab.ru/news/561038.php?r=1

🔗Ссылка: https://m.youtube.com/watch?v=7Wo_y1pk3Sw

Добавить менеджер учетных данных меня просили много знакомых, и вот наконец, он появится в версии 0.7.

Когда просишь пофиксить уязвимости

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking

🔗Ссылка: https://habr.com/ru/news/924560/

🔗Ссылка: https://xakep.ru/2025/02/18/fortios-bypass/

🔗Ссылка: https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide

💻 Kerbtool v0.1.1 Еще одна утилита для работы с Kerberos. Написана на🖼️ Go

--ask-tgt --ask-st --forge --parse --convert --kerberoast

💻 Repo #kerberos #ad #redteam #soft #golang ✈️ Whitehat Lab 💬Chat

CVE-2025-20309 CVSS 10 Каждый раз смешно

🔗Ссылка: https://cyberdom.blog/inside-dmsa-on-ad-2025-how-it-works-how-to-monitor-it-why-it-matters/