CISA 警告 SimpleHelp 身份验证绕过漏洞正在被利用

CISA 警告称,攻击者正在积极利用一个严重的 SimpleHelp 身份验证绕过漏洞(编号为 CVE-2026-48558)。

该机构将该缺陷添加到其CISA KEV 警报2026 年 6 月 29 日,有证据表明存在现实世界的剥削行为。联邦民事机构被要求在 2026 年 7 月 2 日之前采取缓解措施或在无法采取缓解措施的情况下停止使用。

NVD记录该问题描述为 OpenID Connect 或 OIDC 身份验证流程中的身份验证绕过。配置 OIDC 后,SimpleHelp 可能会接受身份令牌而不验证其加密签名。

CVE-2026-48558 允许攻击者执行哪些操作

CVE-2026-48558 影响 SimpleHelp 版本 5.5.15 及更早版本,以及 6.0 RC2 之前的 6.0 预发布版本。该问题映射到 CWE-347,加密签名验证不当。

在易受攻击的配置中,未经身份验证的远程攻击者可以提交带有攻击者控制的声明的伪造身份令牌。这可以导致完全经过身份验证的技术人员会话。

这是很严重的,因为 SimpleHelp 中的技术人员会话可能具有很高的特权。根据配置,技术人员可以远程访问托管端点、传输文件、运行脚本以及跨连接系统执行管理支持操作。

物品细节
CVECVE-2026-48558
产品SimpleHelp 远程支持和远程监控软件
受影响的版本5.5.15 及更早版本,以及 6.0 RC2 之前的 6.0 预发行版本
易受攻击的配置启用 OIDC 身份验证
弱点型CWE-347,加密签名验证不当
潜在结果未经身份验证的攻击者获得技术人员会话

为什么 OIDC 验证失败

OIDC 通常用于让身份提供商处理企业应用程序的登录。在 SimpleHelp 部署中,这可以包括通用 OIDC 或 Azure AD OIDC 身份验证。

Horizo​​n3.ai披露表示该缺陷存在于 SimpleHelp 验证身份提供者断言的方式中。在许多支持 OIDC 的部署中,攻击者可以创建新的技术人员用户并进行身份验证。

Horizo​​n3.ai 还指出,MFA 可能无法阻止某些设置中的利用。如果攻击者可以自行注册新的技术人员帐户,他们也可能在首次登录时注册自己的 MFA 方法。

  • 必须启用 OIDC 身份验证。
  • OIDC 提供商必须与技术人员组关联。
  • 服务器接受易受攻击的配置中的伪造身份声明。
  • 攻击者不需要有效的凭据。
  • 不需要用户交互。

已经观察到积极的利用

这个缺陷不再只是补丁管理问题。研究人员报告了针对面向互联网的 SimpleHelp 服务器的利用情况。

一个北极狼公告表示 CVE-2026-48558 正被用于凭证盗窃和恶意软件传播。它还估计大约有 14,000 个 SimpleHelp 服务器暴露在外部,其中大约 1,000 个在分析时直接容易受到攻击。

Blackpoint 网络分析将漏洞利用与名为 TaskWeaver 和 Djinn Stealer 的两个恶意软件家族相关联。攻击者使用受损的 RMM 平台作为文件传输和远程执行的可信管理通道。

观察到的活动安全影响
获得 SimpleHelp 技术人员会话攻击者获得可信的远程管理访问权限
通过平台传输的文件可以使用合法的 RMM 功能来传播恶意软件
已部署 TaskWeaver 加载程序受损系统可以接收更多有效负载
神灵偷窃者被处决凭证和令牌可以从端点获取
暴露的托管端点单个 RMM 服务器可以成为进入多个系统的路径

IT 团队、帮助台、托管服务提供商和支持组织使用 SimpleHelp 来远程访问和管理端点。这使得它对寻求广泛访问的攻击者具有吸引力。

受损的远程管理服务器可以让威胁参与者同时访问许多计算机。它还可以使恶意活动看起来像合法的支持会话,尤其是在日志记录和监控较弱的情况下。

BOD 26-04 指令要求联邦机构根据已知的利用、暴露、自动化潜力和影响等风险信号确定修复的优先顺序。 CVE-2026-48558 适合应移至修补队列前面的缺陷类型。

提供固定版本

SimpleHelp 已发布修复程序。这SimpleHelp 发行说明将版本 5.5.16 列为修复了严重漏洞的版本,建议所有用户使用。

受影响的稳定分支已在 SimpleHelp 5.5.16 中修复。受影响的 6.0 预发布分支已在 6.0 RC2 或最终 6.0 版本中修复。

如果易受攻击的 OIDC 配置仍然处于活动状态,组织不应仅依赖外围控制。应首先修补或禁用易受攻击的身份验证路径。

简单帮助版本地位建议采取的行动
5.5.15 及更早版本做作的升级到5.5.16或更高版本
RC2 之前的 6.0 预发布做作的升级到 6.0 RC2 或最终 6.0
支持 OIDC 的部署最受关注立即修补或禁用 OIDC 直至修补
面向互联网的服务器高曝光度限制访问并查看日志以防止泄露

管理员现在应该做什么

管理员应首先确定是否运行 SimpleHelp 以及是否启用了 OIDC 身份验证。然后,他们应该确认安装的版本并立即升级受影响的服务器。

CVE条目确认不需要用户交互并且攻击媒介是基于网络的。这使得暴露的 SimpleHelp 服务器变得尤为紧迫。

无法立即修补的组织应尽可能禁用 OIDC 身份验证,并通过防火墙规则或 VPN 限制对 SimpleHelp 服务器的访问,直到修复完成。

  • 清点每个 SimpleHelp 服务器。
  • 确定是否配置了通用 OIDC 或 Azure AD OIDC。
  • 将受影响的 5.5.x 部署升级到 5.5.16 或更高版本。
  • 将 6.0 预发布部署升级到 6.0 RC2 或最终 6.0。
  • 如果无法立即修补,请禁用 OIDC。
  • 限制对 SimpleHelp 服务器的公共访问。
  • 查看技术人员帐户、组和最近的登录历史记录。
  • 调查通过可能受感染的服务器管理的所有端点。

可能妥协的迹象

由于攻击者可以获得技术人员会话,因此防御者不应停止检查服务器版本是否存在漏洞。他们还应该寻找未经授权的帐户活动和可疑的远程管理行为。

Horizo​​n3指标包括为防御者在披露后审查 SimpleHelp 部署提供指导。安全团队应搜索日志以查找意外的技术人员创建、异常的 OIDC 事件、不熟悉的远程会话和文件传输活动。

如果怀疑被利用,请将可从托管端点访问的凭据视为可能暴露。远程管理通道可以到达存储浏览器数据、SSH 密钥、云令牌、包注册表令牌、代码存储库凭据和管理机密的系统。

信号为什么这很重要
新的技术人员帐户可能表明伪造的 OIDC 登录和帐户创建
意外的 MFA 注册可能会显示攻击者控制的新身份验证方法的设置
未知的远程会话可能表明对托管端点的未经授权的访问
大文件或异常文件传输可能表明恶意软件部署或数据暂存
跨多个端点执行脚本可能显示滥用 RMM 管理功能

恶意软件传播增加了紧迫性

活跃的利用报告显示了 RMM 工具中的身份验证绕过如何迅速成为更广泛的事件。获得技术人员会话后,攻击者可能不需要在每个端点上进行单独的利用。

黑点事件报告据称,TaskWeaver 充当 Node.js 加载程序,而 Djinn Stealer 则针对 Windows、macOS 和 Linux 系统上的凭据。被盗材料包括云、源代码控制、包注册表、基础设施、人工智能开发、浏览器、SSH 和加密货币相关凭证。

这意味着遏制应包括凭证轮换,而不仅仅是端点隔离。如果机密被盗,即使恶意软件被删除,攻击者也可能通过云帐户、代码存储库、基础设施工具或远程访问系统返回。

如何降低未来的RMM风险

远程支持软件需要比普通业务应用程序更严格的控制,因为它靠近特权工作流程。身份验证中的任何弱点都可能成为通往托管端点的直接路径。

北极狼推荐包括立即修补、在修补延迟时禁用 OIDC,以及限制面向互联网的访问。这些步骤应该成为所有远程管理平台的标准做法。

组织还应该审查远程支持工具是否需要直接暴露在互联网上。在许多环境中,通过 VPN 访问、列入白名单的 IP 范围和严格的身份控制可以减少大规模利用的机会。

  • 远程管理工具需要防网络钓鱼的 MFA。
  • 限制技术人员登录受信任的网络或 VPN 访问。
  • 身份提供商更改后检查技术人员组映射。
  • 记录所有远程会话、文件传输和脚本执行。
  • 关于新技术人员帐户和新 MFA 注册的警报。
  • 从端点中删除未使用的远程访问代理。
  • 疑似泄露后轮换机密。
  • 测试 RMM 平台妥协的事件响应计划。

CISA 截止日期凸显活跃风险

7 月 2 日的最后期限适用于美国联邦民事机构,但私人组织应将其视为强烈警告。 KEV 条目代表攻击者已经在使用的漏洞。

CISA基于风险的更新规则当利用的漏洞可以让攻击者对受影响的资产进行主要控制时,还强调取证分类。这对于 SimpleHelp 来说很重要,因为技术人员会话可以到达许多托管端点。

KEV目录更新应推动组织验证漏洞,修补受影响的服务器,并调查攻击者是否在应用修复程序之前已经使用了该漏洞。

优先事项行动
即时将 SimpleHelp 修补到固定版本或在修补延迟时禁用 OIDC
即时限制公众访问面向互联网的 SimpleHelp 服务器
高的审查技术人员帐户和 MFA 注册
高的检查托管端点是否存在恶意软件传递和凭证盗窃
高的轮换可能可从受影响的系统访问的凭据和令牌
进行中监控 RMM 工具是否存在异常远程会话、文件传输和脚本

底线

CVE-2026-48558 是一个关键的 SimpleHelp 身份验证绕过,可以将易受攻击的 OIDC 登录流转变为未经授权的技术人员级别访问。

该缺陷影响 SimpleHelp 5.5.15 及更早版本,以及 6.0 RC2 之前的 6.0 预发行版本。已提供固定版本,并且SimpleHelp 5.5.16 发布应将其视为受影响部署的紧急更新。

由于攻击者已经在恶意软件传播活动中利用了该缺陷,因此安全团队应该修补、调查、轮换暴露的凭据,并检查通过可能受影响的 SimpleHelp 服务器管理的每个端点。

FAQ

什么是 CVE-2026-48558?

CVE-2026-48558 是 SimpleHelp 的 OIDC 身份验证流程中的一个严重身份验证绕过漏洞。在易受攻击的配置中,未经身份验证的远程攻击者可以提交伪造的身份声明并获取技术人员会话。

CVE-2026-48558 是否正在被积极利用?

是的。在有证据表明存在积极利用的情况后,CISA 于 2026 年 6 月 29 日将 CVE-2026-48558 添加到其已知被利用的漏洞目录中。研究人员还报告了涉及 TaskWeaver 和 Djinn Stealer 的恶意软件传递。

哪些 SimpleHelp 版本受到影响?

SimpleHelp 5.5.15 及更早版本以及 6.0 RC2 之前的 6.0 预发行版本都会受到影响。当启用 OIDC 身份验证时,这个问题最为严重。

CVE-2026-48558 能否绕过 MFA?

在某些配置中,是的。研究人员表示,攻击者可能能够创建或验证为新技术用户,并在首次登录时自行注册自己的 MFA 方法。

组织应该如何处理 CVE-2026-48558?

组织应将 SimpleHelp 升级到 5.5.16 或更高版本,或者升级到 6.0 RC2 或最终版本 6.0 以进行预发布部署。如果修补被延迟,他们应该禁用 OIDC、限制公共访问、审查技术人员帐户、检查托管端点并轮换暴露的凭据。