Aanvallers maken gebruik van SimpleHelp voor het aanvallen van organisaties, zo stelt securitybedrijf Arctic Wolf. Mogelijk vinden de aanvallen plaats via kwetsbaarheden in de software waarvoor onlangs beveiligingsupdates verschenen. SimpleHelp is remote access software waarmee bijvoorbeeld beheerders problemen bij eindgebruikers kunnen verhelpen. SimpleHelp bestaat uit een server waarop de beheerder inlogt en clientsoftware die op de endpoints draait.

Twee weken geleden kwam securitybedrijf Horizon3.ai met een beschrijving van verschillende kwetsbaarheden in SimpleHelp. Het ging onder andere om ongeauthenticeerde path traversal waardoor een aanvaller willekeurige bestanden van de SimpleHelp-server kan downloaden. Deze bestanden bevatten gehashte wachtwoorden en kunnen ook andere secrets bevatten, zoals LDAP credentials, OIDC client secrets, API keys en TOTP seeds gebruikt voor multifactorauthenticatie.

SimpleHelp kwam vervolgens met beveiligingsupdates. Arctic Wolf ontdekte onlangs een campagne waarbij organisaties via SimpleHelp werden aangevallen. De manier waarop de aanvallers toegang tot de SimpleHelp-server kregen laat het securitybedrijf niet weten, maar de aanvallen begonnen ongeveer een week na de publicatie van Horizon3.ai. Afgelopen maandag waarschuwde The Shadowserver Foundation nog dat 580 kwetsbare SimpleHelp-servers vanaf het internet toegankelijk zijn, waaronder 27 in Nederland.