duty-free.cc

Критическая уязвимость в SimpleHelp эксплуатируется для доставки вредоносного ПО

Критическая уязвимость в SimpleHelp эксплуатируется для доставки вредоносного ПО

Недавно обнаруженная уязвимость обхода аутентификации в программном обеспечении для удалённого мониторинга и управления SimpleHelp активно эксплуатируется для доставки вредоносного ПО.

Детали уязвимости

Уязвимость отслеживается как CVE-2026-48558 и получила максимальный балл опасности — CVSS 10.0. Проблема затрагивает процесс аутентификации через OpenID Connect (OIDC): приложение не проверяет криптографическую подпись токенов идентификации, что позволяет неаутентифицированному атакующему подделать токен при входе и получить полноценную сессию технического специалиста.

Получив доступ к интернет-доступному серверу SimpleHelp, атакующий может передавать файлы и выполнять команды на всех системах, управляемых через этот сервер.

Как проходила атака?

В атаке, зафиксированной компанией Blackpoint, злоумышленник использовал этот доступ для развёртывания двух семейств вредоносного ПО:

  • TaskWeaver — загрузчик на Node.js. Использовался для сбора информации о системе и развёртывания JavaScript-нагрузки с полным доступом через Node.js. Отличается простой структурой и способен доставлять любые зашифрованные нагрузки.
  • Djinn Stealer — кроссплатформенный инфостилер, специально разработанный для кражи данных с машин разработчиков. Цели кражи включают облачные учётные данные, SSH-ключи, конфигурации инфраструктуры, токены систем контроля версий, аутентификацию реестров пакетов, инструменты разработки, криптовалютные кошельки и все данные браузера.

«Особо примечательно, что стилер похищает учётные данные инструментов ИИ-разработки, давая атакующему плацдарм для вмешательства в сами пайплайны, над которыми работают команды.»

— Blackpoint

Что делать?

Уязвимость была устранена в конце мая в версиях SimpleHelp 5.5.16 и 6.0 RC2. Организациям рекомендуется:

  • Обновить развёртывания SimpleHelp до последних версий
  • Проверить журналы приложения на наличие незнакомых имён и адресов email технических специалистов

В понедельник, вслед за публикацией отчёта Blackpoint, агентство CISA добавило CVE-2026-48558 в каталог Known Exploited Vulnerabilities (KEV) и обязало федеральные ведомства устранить уязвимость в течение трёх дней в соответствии с директивой BOD 26-04.