Vulnérabilités et Alertes

Alerte CISA AA25-163A

by  • 

Vulnérabilité SimpleHelp RMM (CVE-2024-57727) exploitée par des rançongiciels

Je vous propose la synthèse suivante suite à la publication du 12 juin 2025 de l’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) qui a publié l’alerte AA25-163A en réaction à une campagne active de rançongiciels exploitant une vulnérabilité critique dans le logiciel SimpleHelp Remote Monitoring and Management (RMM).

Cette alerte signale qu’un fournisseur de logiciels de facturation pour les services publics a été compromis via une instance SimpleHelp non mise à jour, permettant aux attaquants de toucher les clients en aval de ce fournisseur.

L’objectif de la note de la CISA est de mettre en garde l’ensemble des organisations utilisatrices de SimpleHelp (éditeurs tiers, prestataires de services managés, entreprises clientes) et de recommander des mesures immédiates.

L’incident décrit s’inscrit dans un schéma plus large observé depuis janvier 2025, où des groupes de rançongiciels tirent parti de failles non corrigées dans SimpleHelp RMM pour infiltrer les réseaux de leurs cibles. En l’occurrence, les attaquants ont exploité la vulnérabilité CVE-2024-57727 (faille de type path traversal) présente dans SimpleHelp versions 5.5.7 et antérieures.

D’après la CISA, cette faille a probablement été utilisée pour accéder aux systèmes des clients finaux via les instances SimpleHelp vulnérables, ce qui a entraîné des perturbations de service majeures et une attaque de double extorsion (chiffrement des données couplé au vol de données sensibles) chez les victimes. À noter que la CISA avait ajouté la CVE-2024-57727 à son catalogue des vulnérabilités exploitées (Known Exploited Vulnerabilities) dès le 13 février 2025, soulignant la nécessité d’appliquer les correctifs disponibles en urgence.

Description technique de la vulnérabilité (CVE-2024-57727)

La CVE-2024-57727 est une vulnérabilité de type « path traversal » (traversée de répertoires) affectant SimpleHelp (versions 5.5.7 et antérieures). Concrètement, cette faille permet à un attaquant distant non authentifié d’accéder et de télécharger des fichiers arbitraires depuis le serveur SimpleHelp en envoyant des requêtes HTTP malveillantes spécialement forgées.

Un attaquant peut ainsi lire des fichiers sensibles sur le serveur, notamment les fichiers de configuration contenant des secrets et des mots de passe hachés des utilisateurs. Le fichier le plus critique est le serverconfig.xml (situé dans le répertoire de configuration de SimpleHelp) qui renferme les hash des mots de passe de l’administrateur principal par défaut (SimpleHelpAdmin) ainsi que ceux d’autres comptes techniciens locaux. Selon la configuration du serveur, ce fichier et d’autres peuvent également contenir des informations d’authentification supplémentaires : identifiants de services d’annuaire (LDAP), secrets de configuration pour l’authentification fédérée (clients OIDC), clés d’API tierces, voire les codes secrets TOTP utilisés pour la double authentification (MFA).

Il convient de souligner que si certains de ces journaux ou secrets sont chiffrés par l’application, ils le sont à l’aide d’une clé codée en dur, ce qui signifie qu’un attaquant qui les extrait via la faille pourrait potentiellement les déchiffrer ou les réutiliser. En somme, CVE-2024-57727 offre une porte d’entrée critique : en téléchargeant les configurations internes, un adversaire peut récupérer des informations d’identification sensibles du serveur SimpleHelp. Ces informations peuvent ensuite être exploitées pour escalader ses privilèges (par exemple en craquant un mot de passe administrateur haché ou en utilisant des clés volées), voire enchaînées avec d’autres vulnérabilités (telles que des failles d’upload de fichiers arbitraires ou d’élévation de privilèges découvertes simultanément) afin de prendre un contrôle total du serveur et de son infrastructure associée.

Vecteur d’attaque observé et conséquences opérationnelles

Dans l’incident rapporté par la CISA, des acteurs malveillants affiliés à un groupe de ransomware ont d’abord exploité la faille CVE-2024-57727 pour compromettre le serveur SimpleHelp d’un fournisseur tiers (un prestataire de services technologiques dans le domaine de la facturation des services publics). Grâce à cet accès initial, les attaquants ont détourné l’outil SimpleHelp lui-même pour déployer à distance un rançongiciel sur de multiples systèmes clients reliés à ce serveur.

En pratique, une fois le serveur RMM sous leur contrôle, ils ont pu utiliser ses fonctionnalités d’administration à distance comme vecteur de propagation du malware : le code du rançongiciel (identifié comme DragonForce, un rançongiciel opéré en modèle RaaS) a été poussé simultanément sur les machines des organisations clientes, déclenchant le chiffrement de masse des données sur ces dernières. Parallèlement, les assaillants ont exfiltré des volumes de données sensibles depuis les systèmes compromis, dans le but d’exercer une double extorsion sur les victimes (menace de publier les données volées en plus du chiffrement).

Les conséquences opérationnelles d’une telle attaque sont considérables. En compromettant un prestataire central (fournisseur de logiciel ou MSP utilisant SimpleHelp), les attaquants ont pu affecter en cascade plusieurs organisations clientes – ce qui inclut potentiellement l’interruption des services critiques (ex. indisponibilité du système de facturation des services publics), la paralysie d’infrastructures informatiques entières suite au chiffrement des serveurs, et une exposition de données confidentielles (données clients, informations financières) tombées aux mains des attaquants.

Dans le cas présenté, l’attaque a pu être partiellement contenue pour l’un des clients grâce à des solutions de sécurité proactives, empêchant le chiffrement sur son réseau.

En revanche, le fournisseur visé et les autres clients dépourvus de telles protections ont subi le chiffrement de leurs données ainsi que des vols d’informations par les assaillants.

Ce mode opératoire illustre un scénario de chaîne d’approvisionnement logicielle (supply chain) : la compromission d’un seul point central (le serveur RMM du fournisseur) permet aux rançongiciels de toucher plusieurs organisations en aval simultanément, maximisant l’impact pour les victimes et le levier de chantage des criminels.

La CISA souligne que cette campagne n’est pas isolée, mais fait partie d’une tendance où les outils de support à distance non corrigés sont devenus des cibles privilégiées des groupes de rançongiciels, à l’image d’attaques précédentes ayant exploité d’autres solutions RMM comme ConnectWise ou Kaseya VSA pour pénétrer des réseaux d’entreprise.

Les recommandations de la CISA pour les différents acteurs concernés

Face à cette menace, la CISA demande à tous les acteurs – tant les fournisseurs de solutions tierces que les clients finaux – à prendre sans délai des mesures de mitigation. Les recommandations émises dans l’alerte s’adaptent aux deux profils suivants :

Pour les fournisseurs tiers utilisant SimpleHelp (éditeurs, MSP, etc.)

Si vous êtes un éditeur de logiciel ayant intégré SimpleHelp dans votre produit, ou un fournisseur de services (MSP) utilisant SimpleHelp sur l’infrastructure de vos clients, la priorité est d’identifier la version de votre serveur SimpleHelp et de vérifier s’il est vulnérable : consultez le fichier de configuration du serveur (…/SimpleHelp/configuration/serverconfig.xml) afin de trouver le numéro de version du serveur SimpleHelp en haut du fichier. Si la version est 5.5.7 ou antérieure (et a été utilisée à n’importe quel moment depuis janvier 2025), la CISA recommande d’entreprendre immédiatement les actions suivantes :

  1. Isoler ou arrêter le serveur SimpleHelp vulnérable. Déconnectez l’instance SimpleHelp d’Internet (par exemple en coupant son accès réseau externe) ou arrêtez le processus/service du serveur, afin de stopper toute exploitation en cours.
  2. Appliquer le correctif en urgence. Mettez à jour SimpleHelp vers la dernière version disponible corrigeant les failles, en suivant les instructions de sécurité fournies par l’éditeur de SimpleHelp. La version 5.5.8 (ou équivalents correctifs 5.4.10 / 5.3.9 pour les branches antérieures) a corrigé ces vulnérabilités dès janvier 2025 – il est impératif de déployer ces mises à jour sans tarder.
  3. Notifier les clients et renforcer la surveillance. Informez vos clients downstream (ceux dont les systèmes ou logiciels dépendent de votre service SimpleHelp) de la situation et préconisez-leur des actions immédiates : sécurisation de leurs endpoints (par exemple en déconnectant ou en éteignant temporairement les agents SimpleHelp sur leurs machines) et lancement d’investigations de threat hunting sur leurs réseaux à la recherche de signes d’intrusion. En d’autres termes, vos clients doivent être alertés afin de vérifier s’ils ont été compromis via votre infrastructure et prendre, de leur côté, les mesures de confinement nécessaires.

Pour les clients finaux et utilisateurs de SimpleHelp

Si vous exploitez directement SimpleHelp dans votre environnement, ou indirectement via un logiciel tiers qui l’embarque, vous devez déterminer si vos systèmes utilisent une version vulnérable de SimpleHelp RMM. Les étapes suivantes sont recommandées :

  • Identification de SimpleHelp sur vos systèmes : Recherchez la présence du service d’accès distant de SimpleHelp (Remote Access Service – RAS) sur vos postes et serveurs. Selon votre plateforme, examinez les emplacements typiques d’installation du client SimpleHelp :
  • Mesures immédiates en cas de version vulnérable (≤ 5.5.7) détectée : Si vous constatez qu’un de vos serveurs ou services utilise une version vulnérable de SimpleHelp, considérez que votre système est à haut risque de compromission. La CISA recommande alors :

En complément, si SimpleHelp a été installé par le passé pour du support mais n’est plus activement utilisé sur certains systèmes, il est recommandé de désinstaller ce logiciel des postes concernés afin de réduire la surface d’attaque exposée aux adversaires. En effet, la présence dormante d’un agent RMM non à jour sur une machine représente un risque inutile qui peut être éliminé.

Mesures préventives et bonnes pratiques (CPG CISA & NIST)

Au-delà des mesures d’urgence spécifiques à SimpleHelp, la CISA rappelle une série de bonnes pratiques de cybersécurité applicables de manière générale pour réduire les risques d’intrusion et améliorer la résilience face aux rançongiciels.

Ces recommandations s’alignent sur les Cross-Sector Cybersecurity Performance Goals (CPG) développés conjointement par la CISA et le NIST, et s’inspirent des cadres de référence du NIST en matière de cybersécurité. En particulier, il est conseillé aux organisations (clients des MSP, entreprises utilisatrices, et également aux fournisseurs de services) de mettre en œuvre les points suivants :

  • Inventaire et gestion des actifs : Maintenez un inventaire exhaustif et à jour de vos actifs informatiques (matériels, logiciels et services déployés) afin d’identifier rapidement la présence de logiciels tels que SimpleHelp sur votre réseau et d’en gérer les mises à jour (objectif CPG 1.A). Une connaissance précise de votre parc vous permettra de repérer les composants vulnérables et d’assurer un suivi efficace des correctifs.
  • Sauvegardes régulières et isolées : Conservez des sauvegardes complètes et hors ligne de vos systèmes critiques et données essentielles. Idéalement, effectuez une sauvegarde quotidienne sur un support externe non connecté en permanence (disque amovible, stockage offline), et déconnectez ce support une fois la sauvegarde terminée pour le soustraire à tout chiffrement par ransomware. Des sauvegardes saines et isolées (et testées régulièrement) garantissent que vous pourrez restaurer vos opérations sans payer de rançon, même en cas de chiffrement (CPG 2.R).
  • Réduction de la surface d’attaque externe : Évitez d’exposer directement sur Internet des services d’administration ou de prise en main à distance tels que RDP (Remote Desktop Protocol) ou les consoles RMM, sauf nécessité absolue. Si de tels services doivent être accessibles, appliquez des contrôles compensatoires robustes : filtrage par adresse IP, authentification multifactorielle, limitations d’accès horaires, etc. De plus, désactivez les applications et protocoles réseau non indispensables sur vos systèmes connectés à Internet, afin de limiter les vecteurs d’abus courants (CPG 2.W).
  • Évaluation des risques liés aux outils RMM : Conduisez une analyse de risque spécifique avant de déployer ou de conserver un logiciel de gestion à distance (RMM) sur votre réseau. Pesez le bénéfice apporté par l’outil face aux risques potentiels en cas de compromission. Si l’usage d’un RMM est requis (par exemple pour du support externe), engagez le dialogue avec le fournisseur/prestataire afin de comprendre quelles mesures de sécurité sont en place de son côté (gestion des vulnérabilités, restrictions d’accès, surveillance, etc.) et quelles garanties contractuelles existent en cas d’incident.
  • Communication et gestion des correctifs avec les tiers : Établissez et maintenez des canaux de communication ouverts avec vos fournisseurs et prestataires en ce qui concerne la sécurité. Assurez-vous d’être informé rapidement des mises à jour de sécurité disponibles pour les produits tiers que vous utilisez (par exemple en s’abonnant à leurs bulletins), et intégrez ces mises à jour dans votre propre processus de gestion des correctifs. De même, si vous êtes vous-même éditeur ou prestataire, informez proactivement vos clients dès qu’une vulnérabilité critique est découverte dans vos produits ou outils intégrés.
  • Utilisation d’une SBOM pour les éditeurs : Du côté des fabricants de logiciels, la CISA encourage l’adoption d’une Software Bill of Materials (SBOM) – i.e., une nomenclature des composants logiciels intégrés dans un produit. Un SBOM formalisé permet de mieux gérer les risques de chaîne d’approvisionnement en identifiant rapidement les composants vulnérables connus, en suivant les dépendances tierces et en facilitant l’évaluation de l’impact lors de nouvelles failles (conformément aux bonnes pratiques promues par le NIST). Intégrer un SBOM dans vos produits peut réduire significativement le délai de remédiation lorsque des vulnérabilités critiques (telles que CVE-2024-57727) sont divulguées, et ainsi améliorer la sécurité de l’ensemble de l’écosystème.

Procédures en cas de compromission avérée (attaque par ransomware)

Si, malgré les mesures préventives, votre organisation découvre qu’elle a été compromise et que des systèmes sont chiffrés par un ransomware, il est crucial d’agir vite pour contenir l’incident et restaurer vos opérations. La CISA préconise les étapes d’urgence suivantes :

  1. Isolation du système infecté : Déconnectez immédiatement les machines affectées du réseau et d’Internet. Cela vise à empêcher le ransomware de se propager à d’autres appareils et à couper d’éventuelles communications de commande et de contrôle avec les serveurs des attaquants.
  2. Réinstallation depuis sources saines : Préparez une réinstallation complète du système d’exploitation des machines compromises en utilisant un média d’installation sain (live USB/DVD de confiance, image système propre). L’objectif est de repartir d’une base connue et non infectée. Veillez à ce que le support de réinstallation lui-même soit exempt de malware (par exemple, utilisez une image officielle vérifiée).
  3. Restauration et assainissement : Formatez/effacez les supports de stockage du système compromis et restaurez les données à partir de vos sauvegardes propres et hors ligne. Avant de réintroduire les données, assurez-vous qu’elles proviennent d’un environnement sécurisé et qu’elles ne risquent pas de réinjecter le malware. Il est préférable d’analyser les sauvegardes avec un anti-malware à jour avant restauration. Ne reconnectez la machine au réseau qu’une fois son intégrité vérifiée et les failles exploitées corrigées, afin d’éviter une rechute immédiate.

Une fois la phase de récupération entamée, la CISA encourage fortement les victimes à signaler l’incident aux autorités compétentes. Aux États-Unis, il est recommandé de contacter sans délai un bureau local du FBI, de déposer une plainte via le site IC3 (Internet Crime Complaint Center) du FBI, et de notifier également la CISA (via son centre d’opérations 24/7). Ces organismes peuvent fournir assistance et renseignement, et le partage d’indicateurs avec eux contribue à la lutte collective contre les ransomware. Par ailleurs, la CISA et le FBI déconseillent vivement de payer la rançon aux criminels. Payer ne garantit aucunement la restitution des fichiers (les attaquants peuvent ne pas fournir de déchiffreur, ou celui-ci peut échouer), et finance les activités illégales tout en encourageant les auteurs à recommencer. Que l’on paye ou non, il est essentiel de rapporter l’attaque aux autorités pour aider à retrouver les auteurs et à alerter d’autres cibles potentielles. Enfin, informez également vos partenaires, clients ou utilisateurs affectés selon les obligations réglementaires et contractuelles, et prévoyez une communication de crise transparente afin de gérer les conséquences d’une éventuelle fuite de données.

Mécanismes de détection et remédiation

Détection : En amont et en aval d’une attaque, la mise en place de mécanismes de détection est fondamentale. Pour SimpleHelp, au vu de l’exploitation active de CVE-2024-57727, il est conseillé d’examiner minutieusement les journaux du serveur RMM (s’il en existe) pour repérer des requêtes inhabituelles ou erreurs d’accès à des fichiers sensibles, ce qui pourrait indiquer qu’une tentative de path traversal a eu lieu. En parallèle, comme indiqué plus haut, une surveillance du trafic réseau émanant du serveur SimpleHelp peut révéler des connexions vers des hôtes inconnus ou à des heures anormales, symptômes d’une compromission. Sur les machines clientes, la recherche d’artéfacts de malware doit être systématique : fichiers exécutables inconnus (p. ex. aux noms aléatoires de trois lettres) déposés récemment, tâches planifiées suspectes, nouveaux comptes utilisateurs ou services non autorisés, etc. L’utilisation d’outils de scanner de vulnérabilités et d’antivirus/EDR à jour est recommandée pour analyser l’ensemble des hôtes et déceler toute présence de code malveillant ou de porte dérobée laissée par les attaquants. N’hésitez pas à mobiliser vos capacités de threat intelligence – par exemple en consultant les indicateurs de compromission (IOC) publiés par des entités fiables. Dans le cas de SimpleHelp, des bulletins spécialisés (par la Health-ISAC, Arctic Wolf, Sophos, etc.) ont partagé des informations sur cette campagne, ce qui peut vous aider à orienter vos recherches de signes d’attaque sur vos systèmes.

Correction / Remédiation :

Du côté de la remédiation technique, le principal mécanisme correctif est bien sûr l’application du correctif logiciel fourni par SimpleHelp pour combler la faille CVE-2024-57727. Veillez à déployer la mise à jour vers la version 5.5.8 ou supérieure de SimpleHelp sur tous les serveurs concernés, ou les versions de maintenance équivalentes pour les branches plus anciennes, conformément aux recommandations de l’éditeur. Après mise à jour, il est prudent de changer les mots de passe des comptes

SimpleHelp (en particulier celui de SimpleHelpAdmin et des comptes techniciens locaux), étant donné que des attaquants ont pu en dérober les hash – choisissez des mots de passe robustes et idéalement différents de l’ancien, et invalidez les identifiants compromis. De plus, envisagez de révoquer et régénérer les secrets d’API, clés privées ou tokens éventuels qui auraient pu être lus via les fichiers de configuration (par exemple, si SimpleHelp était intégré à d’autres systèmes via des API). Si l’analyse a révélé des malwares déposés (comme les exécutables aaa.exe ou autres), procédez à un nettoyage complet : suppression des fichiers malveillants, fermeture des ports ou accès indésirables qu’ils avaient pu établir, et réinstallation du système si nécessaire pour repartir sur une base saine.

Il est fortement recommandé de faire auditer le serveur SimpleHelp après l’incident (par une équipe interne sécurité ou un prestataire en réponse à incident) afin de s’assurer qu’aucune porte dérobée n’a été laissée (par exemple, vérifier qu’aucun nouvel utilisateur administrateur inconnu n’a été ajouté au logiciel SimpleHelp, qu’aucun service non légitime n’y tourne, etc.).

Enfin, il faut tirez les leçons de l’incident pour améliorer vos mécanismes de sécurité : renforcez vos politiques de gestion des correctifs (mettre en place une veille sur les failles applicatives et déployer plus rapidement les patches critiques sur vos outils comme les RMM), et mettez à jour vos plans de réponse à incident en intégrant ce scénario de compromission via un fournisseur tiers. Les Cybersecurity Performance Goals de la CISA/NIST soulignent d’ailleurs l’importance de la préparation et de la résilience face aux attaques ; s’y conformer vous aidera à mieux détecter, contrer et récupérer lors de futures menaces de ce type.

En appliquant l’ensemble de ces mesures de détection et de correction, les organisations pourront non seulement colmater la vulnérabilité actuelle de SimpleHelp, mais aussi renforcer leur posture globale de cybersécurité face aux campagnes de rançongiciels qui ciblent de plus en plus les maillons faibles de la supply chain numérique.

Enjoy !

Sources :

  • CISA – Alerte AA25-163A (2025),
  • NVD – CVE-2024-57727,
  • Horizon3.ai (2025),
  • Sophos News (2025),
  • Arctic Wolf Security Bulletin (2025).