cve-2024-57728 - RunkIntel

# CVE-2024-57728 > [!high] Upload arbitrário de arquivo no SimpleHelp - RCE via cadeia com CVE-2024-57726/57727 > Permite que administradores do SimpleHelp façam upload de arquivos arbitrários, resultando em execução remota de código. Parte da cadeia de três CVEs explorada pelo grupo **DragonForce Ransomware** contra MSPs. ## Visão Geral A [[cve-2024-57728|CVE-2024-57728]] é a terceira vulnerabilidade da tríade SimpleHelp descoberta pela Horizon3.ai em janeiro de 2025. Ela permite que um atacante com privilégios administrativos no servidor SimpleHelp faça upload de arquivos arbitrários, potencialmente resultando em execução de código remoto no sistema subjacente. Combinada com [[cve-2024-57727|CVE-2024-57727]] (path traversal para extrair credenciais) e [[cve-2024-57726|CVE-2024-57726]] (escalonamento de privilégios), esta CVE fecha a cadeia de ataque completa: acesso não autenticado, elevação para admin, e por fim execução de código no sistema operacional do servidor. O grupo [[dragonforce-ransomware|DragonForce Ransomware]] tem explorado esta tríade contra provedores de serviços gerenciados (MSPs), que ao utilizarem SimpleHelp como ferramenta de suporte remoto, tornam-se vetores para comprometer múltiplos clientes finais de uma só vez. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 7.2 (High) | | **Produto** | SimpleHelp Remote Support | | **Versões afetadas** | < 5.5.8 | | **Patch** | 5.5.8 (13 jan 2025) | | **Pré-requisito** | Acesso administrativo (obtido via CVE-2024-57726) | ## Cadeia de Exploração Completa 1. **CVE-2024-57727** - Path traversal unauthenticated: extrai arquivo de configuração com credenciais hasheadas 2. **CVE-2024-57726** - Privilege escalation: técnico → administrador do SimpleHelp 3. **CVE-2024-57728** - Arbitrary file upload: upload de webshell ou payload de ransomware **TTPs relacionados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1505-003-web-shell|T1505.003]] · [[t1486-data-encrypted-for-impact|T1486]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar SimpleHelp para 5.5.8 ou superior urgentemente - Auditar logs de upload de arquivos no servidor SimpleHelp - Implementar monitoração de integridade de arquivos no diretório de instalação **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1017-user-training|M1017]] > [!latam] Relevância LATAM > MSPs brasileiros e latinoamericanos que utilizam SimpleHelp para gerenciamento remoto de clientes devem tratar esta tríade de CVEs como emergência. Um único servidor comprometido pode expor dezenas de organizações clientes ao ransomware **DragonForce**. ## Referências - [Horizon3.ai - SimpleHelp Vulnerabilities](https://www.horizon3.ai/attack-research/attack-blogs/CVE-2024-57727-simplehelp-path-traversal/) - [BleepingComputer Coverage](https://www.bleepingcomputer.com/news/security/simplehelp-rmt-vulnerabilities-allow-file-theft-privilege-escalation-and-rce-attacks/)