Ciberseguridad 360 | Vulnerabilidades críticas en SimpleHelp permiten robo de archivos, escalada de privilegios y ataques RCE

Investigadores de ciberseguridad han revelado m�ltiples fallos de seguridad en el software de acceso remoto SimpleHelp que podr�an conducir a la divulgaci�n de informaci�n, la elevaci�n de privilegios y la ejecuci�n remota de c�digo.

El investigador de Horizon3.ai Naveen Sunkavally, en un informe t�cnico en el que detalla los hallazgos, afirma que las "vulnerabilidades son triviales de revertir y explotar."

La lista de fallos identificados es la siguiente:

CVE-2024-57727: Una vulnerabilidad de path traversal no autenticada que permite a un atacante descargar archivos arbitrarios desde el servidor SimpleHelp, incluyendo el archivo serverconfig.xml que contiene contrase�as hash para la cuenta SimpleHelpAdmin y otras cuentas de t�cnicos locales.

CVE-2024-57728: Vulnerabilidad en la carga de archivos arbitrarios que permite a un atacante con privilegios de SimpleHelpAdmin (o como t�cnico con privilegios de administrador) cargar archivos arbitrarios en cualquier lugar del host SimpleServer, lo que podr�a conducir a la ejecuci�n remota de c�digo.

CVE-2024-57726: Una vulnerabilidad de escalada de privilegios que permite a un atacante que obtiene acceso como un t�cnico de bajo privilegio para elevar sus privilegios a un administrador aprovechando la falta de controles de autorizaci�n backend.

En un hipot�tico escenario de ataque, un actor malintencionado podr�a encadenar las vulnerabilidades CVE-2024-57726 y CVE-2024-57728 para convertirse en un usuario administrador y cargar payloads arbitrarias para hacerse con el control del servidor SimpleHelp.

Horizon3.ai dijo que se reserva detalles t�cnicos adicionales acerca de las tres vulnerabilidades dada su criticidad y la facilidad de militarizaci�n. Tras la revelaci�n responsable el 6 de enero de 2025, los fallos se han corregido en las versiones 5.3.9, 5.4.10 y 5.5.8 de SimpleHelp, publicadas el 8 y el 13 de enero.

Dado que se sabe que las amenazas aprovechan las herramientas de acceso remoto para establecer un acceso remoto persistente a los entornos objetivo, es crucial que los usuarios apliquen r�pidamente los parches.

Adem�s, SimpleHelp recomienda a los usuarios que cambien la contrase�a del administrador del servidor de SimpleHelp, que roten las contrase�as de las cuentas de los t�cnicos y que restrinjan las direcciones IP desde las que el servidor de SimpleHelp puede esperar inicios de sesi�n de t�cnicos y administradores.

Fuente: thehackernews