lỗ hổng CVE trong SimpleHelp remote support software đang bị khai thác chủ động, theo cảnh báo từ CISA. Hai vấn đề bảo mật này ảnh hưởng trực tiếp đến nền tảng remote access, vốn là mục tiêu phổ biến trong các tấn công mạng vì cung cấp đường vào thẳng vào môi trường doanh nghiệp.
Lỗ hổng CVE trong SimpleHelp bị khai thác
Remote access tools có giá trị cao với kẻ tấn công vì cho phép vượt qua nhiều lớp biên phòng thủ truyền thống. Khi bị xâm nhập, hệ thống có thể bị dùng làm điểm xuất phát cho các cuộc tấn công thứ cấp, bao gồm di chuyển ngang và chiếm quyền quản trị.
CISA đã đưa các lỗi này vào Known Exploited Vulnerabilities (KEV) catalog, với thời hạn khắc phục được đặt vào 08/05/2026.
CVE-2024-57726: Missing Authorization
CVE-2024-57726 được phân loại là lỗi missing authorization theo CWE-862. Vấn đề này phá vỡ kiểm soát truy cập dựa trên vai trò trong SimpleHelp.
Lỗ hổng CVE này cho phép kỹ thuật viên có đặc quyền thấp bỏ qua các giới hạn dự kiến và tạo API key với quyền vượt mức. Từ một tài khoản bị xâm nhập ở cấp thấp, kẻ tấn công có thể leo thang đặc quyền lên vai trò server administrator.
Khi đạt mức truy cập này, attacker có toàn quyền quản trị môi trường remote support và các máy khách đang kết nối.
CVE-2024-57728: Path Traversal / Zip Slip
CVE-2024-57728 là một lỗi path traversal nghiêm trọng, liên quan đến CWE-22. Lỗi này thường được nhắc đến như một dạng zip slip, cho phép quản trị viên đã xác thực tải tệp zip được chế tạo đặc biệt vào bất kỳ vị trí nào trên hệ thống tệp nền.
Mặc dù attacker cần quyền admin để kích hoạt, lỗ hổng CVE này có thể được kết hợp với lỗi xác thực ở trên để có được quyền cần thiết. Sau khi tải lên payload độc hại, kẻ tấn công có thể thực thi mã tùy ý trên host server.
Code thực thi trong ngữ cảnh bảo mật của người dùng SimpleHelp, tạo điều kiện cho remote code execution và thiết lập foothold để di chuyển ngang trong mạng nội bộ.
Ảnh hưởng hệ thống và rủi ro bảo mật
Hai lỗ hổng CVE này tạo ra chuỗi khai thác có thể dẫn đến chiếm quyền điều khiển hạ tầng remote support. Từ đó, attacker có thể truy cập các máy khách được quản lý, triển khai payload tiếp theo hoặc dùng nền tảng này làm điểm trung chuyển cho các mục tiêu khác.
Hiện chưa có xác nhận rằng nhóm mã độc tống tiền đang sử dụng trực tiếp các exploit này, nhưng mức độ nghiêm trọng của lỗ hổng CVE đòi hỏi phải xử lý ngay. Các tổ chức dùng SimpleHelp cần ưu tiên cập nhật bản vá và siết chặt kiểm soát truy cập để giảm nguy cơ bảo mật.
Chi tiết khai thác và IOC
Nội dung gốc không cung cấp IOC cụ thể như hash, domain, IP, user-agent hay tên file độc hại. Tuy nhiên, chuỗi khai thác được mô tả gồm hai bước kỹ thuật chính:
- CVE-2024-57726: vượt kiểm soát phân quyền để tạo API key có quyền cao hơn.
- CVE-2024-57728: dùng zip slip để ghi file ra ngoài thư mục dự kiến và tải payload độc hại.
- Kết quả: thực thi mã tùy ý trên server SimpleHelp trong ngữ cảnh người dùng ứng dụng.
Biện pháp xử lý cho hệ thống bị ảnh hưởng
Quản trị viên cần triển khai các biện pháp sau ngay lập tức để giảm rủi ro bảo mật từ lỗ hổng CVE trong SimpleHelp.
1. Ưu tiên cập nhật bản vá
Thực hiện update vá lỗi cho SimpleHelp theo khuyến nghị của nhà cung cấp. Với các hệ thống đang exposed ra Internet, việc trì hoãn có thể làm tăng xác suất bị xâm nhập trái phép.
2. Rà soát quyền truy cập
Kiểm tra tài khoản technician và administrator, đặc biệt là các tài khoản có quyền truy cập API. Bất kỳ dấu hiệu tạo API key bất thường nào cũng cần được đối chiếu với nhật ký hệ thống.
3. Kiểm tra tệp tải lên và thư mục hệ thống
Do lỗ hổng CVE-2024-57728 liên quan đến path traversal, cần kiểm tra các tệp zip hoặc payload bất thường được ghi ngoài thư mục đích. Đây là điểm quan trọng trong quá trình phát hiện xâm nhập.
4. Theo dõi hoạt động thực thi mã
Giám sát tiến trình, tác vụ nền và log của ứng dụng để phát hiện dấu hiệu remote code execution hoặc hành vi sau khai thác. Các hệ thống IDS và công cụ giám sát endpoint nên được ưu tiên kiểm tra.
5. Giới hạn bề mặt tấn công
Hạn chế truy cập quản trị từ Internet, bật xác thực mạnh và áp dụng nguyên tắc đặc quyền tối thiểu. Với hệ thống remote support, việc thu hẹp bề mặt tấn công là bắt buộc khi tồn tại lỗ hổng CVE đang bị khai thác.
Điểm cần lưu ý về chuỗi khai thác
Trong chuỗi cảnh báo CVE này, một lỗ hổng chỉ liên quan đến phân quyền, còn lỗ hổng còn lại cho phép ghi file ngoài ý muốn. Khi được kết hợp, chúng tạo thành đường khai thác hoàn chỉnh để leo thang đặc quyền và thực thi mã từ xa.
Đây là kiểu rủi ro bảo mật thường gặp ở các nền tảng quản trị từ xa: nếu một bước kiểm soát truy cập bị phá vỡ và một bước xử lý tệp đầu vào không an toàn cùng tồn tại, attacker có thể chuyển từ truy cập hạn chế sang kiểm soát hệ thống hoàn chỉnh.
