Критическая уязвимость в SimpleHelp эксплуатируется для доставки вредоносного ПО
Критическая уязвимость в SimpleHelp эксплуатируется для доставки вредоносного ПО
Недавно обнаруженная уязвимость обхода аутентификации в программном обеспечении для удалённого мониторинга и управления SimpleHelp активно эксплуатируется для доставки вредоносного ПО.
Детали уязвимости
Уязвимость отслеживается как CVE-2026-48558 и получила максимальный балл опасности — CVSS 10.0. Проблема затрагивает процесс аутентификации через OpenID Connect (OIDC): приложение не проверяет криптографическую подпись токенов идентификации, что позволяет неаутентифицированному атакующему подделать токен при входе и получить полноценную сессию технического специалиста.
Получив доступ к интернет-доступному серверу SimpleHelp, атакующий может передавать файлы и выполнять команды на всех системах, управляемых через этот сервер.
Как проходила атака?
В атаке, зафиксированной компанией Blackpoint, злоумышленник использовал этот доступ для развёртывания двух семейств вредоносного ПО:
- TaskWeaver — загрузчик на Node.js. Использовался для сбора информации о системе и развёртывания JavaScript-нагрузки с полным доступом через Node.js. Отличается простой структурой и способен доставлять любые зашифрованные нагрузки.
- Djinn Stealer — кроссплатформенный инфостилер, специально разработанный для кражи данных с машин разработчиков. Цели кражи включают облачные учётные данные, SSH-ключи, конфигурации инфраструктуры, токены систем контроля версий, аутентификацию реестров пакетов, инструменты разработки, криптовалютные кошельки и все данные браузера.
«Особо примечательно, что стилер похищает учётные данные инструментов ИИ-разработки, давая атакующему плацдарм для вмешательства в сами пайплайны, над которыми работают команды.»
— Blackpoint
Что делать?
Уязвимость была устранена в конце мая в версиях SimpleHelp 5.5.16 и 6.0 RC2. Организациям рекомендуется:
- Обновить развёртывания SimpleHelp до последних версий
- Проверить журналы приложения на наличие незнакомых имён и адресов email технических специалистов
В понедельник, вслед за публикацией отчёта Blackpoint, агентство CISA добавило CVE-2026-48558 в каталог Known Exploited Vulnerabilities (KEV) и обязало федеральные ведомства устранить уязвимость в течение трёх дней в соответствии с директивой BOD 26-04.