# CVE-2024-57727 > [!high] Path Traversal no SimpleHelp - Explorado pelo DragonForce Ransomware > Travessia de caminho não autenticada no SimpleHelp Remote Support permite que atacantes baixem arquivos arbitrários do servidor, incluindo configurações com credenciais. Explorada pelo grupo **DragonForce Ransomware** para comprometer MSPs e empresas que utilizam SimpleHelp como ferramenta de suporte remoto. ## Visão Geral [[cve-2024-57727|CVE-2024-57727]] é uma vulnerabilidade de path traversal não autenticada no SimpleHelp Remote Support, uma ferramenta de suporte remoto utilizada por MSPs e equipes de TI. A falha permite que qualquer atacante com acesso à porta HTTP do servidor SimpleHelp baixe arquivos arbitrários do sistema - incluindo arquivos de configuração que podem conter credenciais em texto claro ou hashes de senha. O grupo [[dragonforce-ransomware|DragonForce Ransomware]], um grupo de ransomware emergente com modelo de RaaS (Ransomware as a Service), explorou esta vulnerabilidade como vetor de acesso inicial em sua cadeia de ataque. O padrão de exploração envolve baixar o arquivo de configuração do SimpleHelp para extrair credenciais de administrador, e então usar essas credenciais para acesso remoto às máquinas gerenciadas pelo MSP. Ferramentas de suporte remoto como SimpleHelp são alvos estratégicos para ransomware: comprometer o servidor SimpleHelp de um MSP dá ao atacante acesso potencial a dezenas ou centenas de clientes gerenciados. No ecossistema brasileiro de MSPs, várias ferramentas de suporte remoto de menor custo são comuns, e muitas têm histórico de vulnerabilidades similares. > [!latam] Relevância LATAM > MSPs e empresas de TI brasileiras que utilizam SimpleHelp como ferramenta de suporte remoto devem atualizar imediatamente para versão 5.5.8 ou superior e auditar configurações em busca de comprometimento. O DragonForce tem demonstrado interesse crescente em alvos de língua portuguesa. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal (CWE-22) | | Componente | SimpleHelp Remote Support Server | | Pré-requisito | Nenhum - não autenticado | | Impacto | Download de arquivos do servidor, incluindo configs com credenciais | | Uso em ransomware | DragonForce - acesso inicial via credenciais extraídas | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do SimpleHelp exposto - [[t1552-001-credentials-in-files|T1552.001]] - Credenciais em arquivos de configuração baixados - [[t1021-001-remote-desktop-protocol|T1021.001]] - Acesso remoto via credenciais roubadas - [[t1486-data-encrypted-for-impact|T1486]] - Ransomware DragonForce pós-comprometimento ## Detecção e Defesa **Mitigação primária:** Atualizar SimpleHelp para versão 5.5.8 ou superior. **Ações de resposta:** - Auditar logs de acesso HTTP do SimpleHelp para requisições com `../` no path - Rotacionar credenciais de administrador do SimpleHelp e de máquinas gerenciadas - Verificar integridade dos arquivos de configuração **Mitigações estruturais:** - [[m1030-network-segmentation|M1030]] - Não expor SimpleHelp diretamente à internet sem autenticação adicional - [[m1026-privileged-account-management|M1026]] - Credenciais do SimpleHelp em cofre de senhas - [[m1051-update-software|M1051]] - Atualizar SimpleHelp para versão com correção ## Referências - [SimpleHelp Security Advisory](https://simple-help.com/security-advisories) - [Field Effect Security - SimpleHelp exploitation](https://fieldeffect.com/blog) - [BleepingComputer - DragonForce targeting MSPs](https://www.bleepingcomputer.com)