Un popular sistema de soporte remoto es vulnerable en tres frentes a la vez

Los investigadores informaron sobre tres vulnerabilidades críticas en SimpleHelp, un software popular para soporte remoto. Estas vulnerabilidades, registradas con los números CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726, pueden tener consecuencias graves, incluyendo acceso no autorizado a archivos, escalamiento de privilegios y ejecución remota de código.

CVE-2024-57727 permite a los atacantes sin autorización descargar archivos arbitrarios del servidor de SimpleHelp. Cabe destacar que los archivos de configuración que contienen hashes de contraseñas, credenciales LDAP y claves API pueden ser descifrados debido al uso de claves de cifrado codificadas de forma rígida.

CVE-2024-57728 permite a los atacantes con privilegios administrativos cargar archivos maliciosos en ubicaciones arbitrarias en el servidor. Esto puede llevar a la ejecución de comandos remotos a través de tareas cron maliciosas en servidores Linux o la sustitución de archivos ejecutables en servidores Windows, lo que permite ejecutar programas maliciosos.

CVE-2024-57726 está relacionada con la falta de una autorización adecuada en las funciones administrativas. Esto permite a las cuentas con bajos privilegios elevar sus derechos al nivel de administrador. Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar código remoto a través de CVE-2024-57728.

Las consecuencias de la explotación de estas vulnerabilidades incluyen el control total sobre los servidores de SimpleHelp, acceso a datos confidenciales de los clientes y la propagación de ransomware u otro software malicioso. Las vulnerabilidades han sido descritas como fáciles de explotar, lo que aumenta el riesgo de que sean utilizadas por ciberdelincuentes.

SimpleHelp lanzó rápidamente actualizaciones que solucionan las vulnerabilidades. Para protegerse, se recomienda actualizar el software a las versiones 5.5.8, 5.4.10 o 5.3.9, cambiar las contraseñas, restringir el acceso al panel administrativo por IP y habilitar la autenticación multifactor.

Las vulnerabilidades fueron descubiertas por investigadores de Horizon3.ai y divulgadas de manera responsable a SimpleHelp el 6 de enero de 2025. Los parches para diferentes versiones se lanzaron el 8 y 13 de enero. Aunque no hay evidencia de explotación de estas vulnerabilidades en entornos reales, los especialistas instan a actualizar los sistemas sin demora.

Los programas de soporte remoto, como SimpleHelp, son objetivos frecuentes de los hackers debido a su potencial para proporcionar acceso a redes. Anteriormente, herramientas similares fueron utilizadas por grupos de hackers para espionaje y propagación de ransomware, lo que subraya la necesidad de solucionar rápidamente las vulnerabilidades detectadas.

No actualizar los sistemas a tiempo puede provocar filtraciones de datos, pérdidas financieras y violaciones de la ciberseguridad, algo especialmente relevante en el contexto de la explotación activa de vulnerabilidades en otras plataformas populares de acceso remoto.