CVE-2024-57728: SimpleHelp 路径遍历允许管理员上传

执行摘要

美国网络安全和基础设施安全局（CISA）已将 CVE-2024-57728 添加到其已知被利用漏洞（KEV）目录中，确认 SimpleHelp 远程支持软件中存在路径遍历缺陷的积极利用。该漏洞，一种 zip slip 风格的任意文件上传，允许经过身份验证的管理员用户通过精心制作的 zip 归档在宿主文件系统的任何位置写入文件。这可以链式远程代码执行（RCE）在 SimpleHelp 服务器进程的上下文中。CISA 要求联邦机构按照供应商指示应用缓解措施或在 2026 年 5 月 8 日之前停止使用该产品。包括非联邦企业在内的所有 SimpleHelp 部署应将此视为积极威胁。

技术分析

CVE-2024-57728 存在于 SimpleHelp 的文件上传功能中。该软件在正常的远程支持操作期间接受管理员用户压缩的 zip 归档。路径遍历漏洞—通常称为“zip slip”—发生在归档提取逻辑未能正确清理 zip 条目中嵌入的文件路径时。通过制作包含相对路径组件的归档（例如，../../outside/authorized/path），具有管理员权限的攻击者可以将文件放置在预期的提取目录之外。

由于 SimpleHelp 服务器进程通常具有足够的权限来提供应用程序，任意文件写入可以被利用来覆盖服务器在启动或运行期间加载的可执行二进制文件、配置文件或脚本。这使得代码执行无需额外的身份验证或用户交互，只需初始的管理员级访问。

CISA 已将该漏洞列入 KEV，并要求在 2026 年 5 月 8 日前完成处置。NVD 将该漏洞评分列为 CVSS 7.2，对应高危等级。风险仍然紧迫，因为 KEV 收录代表已观察到真实利用；即使 CVSS 未达到严重阈值，主动利用信号也应推动优先修补。

缓解措施与建议

CISA 的 BOD 22-01 指令要求所有美国联邦文职行政部门机构在指定的截止日期前补救 KEV 列出的漏洞。对于 CVE-2024-57728，截止日期是 2026 年 5 月 8 日。无法应用供应商提供的缓解措施的机构必须停止使用 SimpleHelp。

对于运行 SimpleHelp 的非联邦组织，建议采取以下步骤：

立即应用供应商补丁。 联系 SimpleHelp 支持或检查供应商的安全通告，以获取解决 zip slip 漏洞的特定版本。
限制管理员访问。 由于利用需要管理员级身份验证，限制具有管理员权限的用户数量。为所有管理员帐户强制执行多因素身份验证（MFA）。
监控文件系统更改。 在 SimpleHelp 服务器主机上部署文件完整性监控（FIM），以检测预期应用程序目录之外的意外文件写入。
分割 SimpleHelp 服务器。 将服务器放置在具有最小出站访问权限的限制网络段中。除非绝对必要，否则不要将 SimpleHelp 管理员界面暴露给互联网，并使用 VPN 或堡垒主机进行管理员访问。
审查日志。 审计 SimpleHelp 服务器日志，查找包含路径遍历模式的 zip 上传。寻找写入系统目录的文件，如 /etc、/usr/bin 或 C:\Windows\System32。

在发布时，尚未确认任何公开的概念验证漏洞代码，但 CISA 的 KEV 包含表明实际利用正在发生。防御者不应等待 PoC 采取行动。

CVE-2024-57728: SimpleHelp 路径遍历允许管理员上传