Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Schwachstellen in SimpleHelp ermöglichen vollständige Server-Übernahme

In der SimpleHelp-Fernzugriffssoftware wurden mehrere kritische Sicherheitslücken entdeckt. Ihre Ausnutzung könnte zu Datendiebstahl, Privilegieneskalation und Remote-Code-Ausführung führen.

Bedrohungen
Lesezeit 1 Min.

Horizon3.ai-Experte Naveen Sunkavally hob in einem technischen Bericht die Schwere der entdeckten Schwachstellen in der SimpleHelp-Fernzugriffssoftware hervor. Er betonte, dass diese Sicherheitslücken aufgrund ihrer einfachen Struktur und mangelnden Schutzmechanismen besonders anfällig für Angriffe sind. Die Schwachstellen seien so geartet, dass sie mit minimalem Aufwand analysiert und ausgenutzt werden könnten. Das mache sie für Angreifer besonders attraktiv, auch solche, die technisch nicht sonderlich versiert sind.

Die identifizierten Schwachstellen umfassen:

  • CVE-2024-57727: Eine Pfadüberquerungsschwachstelle, die es einem Angreifer ohne Authentifizierung ermöglicht, beliebige Dateien vom SimpleHelp-Server herunterzuladen, einschließlich der Datei serverconfig.xml, die gehashte Passwörter für das SimpleHelpAdmin-Konto und andere lokale Technikerkonten enthält.
  • CVE-2024-57728: Eine Schwachstelle beim Hochladen beliebiger Dateien, die es einem Angreifer mit SimpleHelpAdmin-Rechten (oder einem Techniker mit Admin-Rechten) erlaubt, beliebige Dateien an beliebigen Orten auf dem SimpleServer-Host hochzuladen – freie Bahn für Remote-Code-Ausführung (RCA).
  • CVE-2024-57726: Eine Schwachstelle zur Privilegieneskalation, da jegliche Autorisierungsprüfungen im Backend fehlen. Einem Angreifer mit niedrig privilegiertem Technikerzugang ist es so möglich, Admin-Rechte zu erlangen.

In einem hypothetischen Angriffsszenario könnten CVE-2024-57726 und CVE-2024-57728 kombiniert werden, um einem Angreifer den Admin-Zugriff zu verschaffen und beliebige Schadprogramme hochzuladen, um die Kontrolle über den SimpleHelp-Server zu übernehmen.

Horizon3.ai hat angekündigt, dass aufgrund der hohen Kritikalität und einfachen Ausnutzbarkeit der Schwachstellen keine weiteren technischen Details veröffentlicht werden. Nach einer verantwortungsvollen Meldung der Probleme am 6. Januar 2025 wurden die Schwachstellen in den SimpleHelp-Versionen 5.3.9, 5.4.10 und 5.5.8 behoben, die am 8. und 13. Januar veröffentlicht wurden.

Da Angreifer häufig Fernzugriffstools nutzen, um dauerhaften Zugriff auf Systeme zu erhalten, ist es für Nutzer besonders wichtig, die Sicherheitsupdates so schnell wie möglich zu installieren. SimpleHelp empfiehlt außerdem, das Administratorpasswort des Servers zu ändern, die Passwörter der Technikerkonten regelmäßig zu aktualisieren und den Zugriff auf den Server so einzuschränken, dass nur bestimmte IP-Adressen für Techniker- und Administrator-Logins zugelassen sind.

Diesen Beitrag teilen: