SimpleHelp RMM sérülékenység

Editors' Pick

Az Arctic Wolf szerint a CVE-2026-48558 nem egyszerű hitelesítés-megkerülési hiba, hanem az egyik legsúlyosabb RMM-sérülékenység az elmúlt időszakban, ami CVSS 10.0 értékkel bír. A hiba a SimpleHelp OpenID Connect (OIDC) implementációjában található, a szerver bizonyos konfigurációkban nem ellenőrzi megfelelően az identitástoken kriptográfiai aláírását, ezért egy hitelesítetlen támadó saját maga által létrehozott, hamis OIDC-tokennel teljes értékű Technician munkamenetet hozhat létre. A sérülékenység akkor használható ki, ha a SimpleHelp szerveren engedélyezett a Generic OIDC vagy Azure AD OIDC, a szolgáltató hozzá van rendelve legalább egy Technician Grouphoz, és azon be van kapcsolva az Allow group authenticated logins opció – ez utóbbi sok éles telepítésben alapértelmezett gyakorlat. Mivel az újonnan létrehozott technikusi fiók saját maga regisztrálhat MFA-t, a támadás a többtényezős hitelesítést is megkerüli. A Horizon3.ai becslése szerint közel 14 000 internet felől elérhető SimpleHelp szerver található, amelyek közül mintegy 1000 volt közvetlenül érintett a sérülékeny konfiguráció miatt. 

Az Arctic Wolf és a Blackpoint Cyber által dokumentált valós támadásokban a támadók először a sérülékenységgel technikusi hozzáférést szereztek egy internet felől elérhető SimpleHelp szerverhez, majd a legitim RMM-funkciókat kihasználva fájlokat másoltak, parancsokat futtattak és malware-t telepítettek a felügyelt végpontokra. Első lépésként egy erősen obfuszkált TaskWeaver nevű Node.js loader került telepítésre jquery.js néven, amely node.exe segítségével futott, és egy titkosított kommunikációs csatornát épített ki a vezérlőszerverrel. A TaskWeaver felderíti a rendszert, majd ennek alapján tölti le a második fázist, a Djinn Stealer információlopót. A Djinn Windows, Linux és macOS rendszereken egyaránt képes böngészői jelszavak, SSH-kulcsok, Git- és csomagkezelő tokenek, AWS, Azure, Google Cloud, Oracle Cloud, Cloudflare, Okta és más felhőszolgáltatások hitelesítő adatainak, Docker-, Kubernetes- és Terraform-konfigurációknak, valamint AI-fejlesztő eszközök hitelesítő adatainak ellopására. Az összegyűjtött adatokat TAR/GZIP formátumba csomagolja, AES-256-GCM algoritmussal titkosítja, majd a TaskWeaverbe beágyazott RSA-2048 nyilvános kulccsal védi, mielőtt a támadók infrastruktúrájára továbbítaná. Az Arctic Wolf szerint a támadás különösen veszélyes, mert egy kompromittált SimpleHelp szerveren keresztül az MSP vagy IT-szolgáltató összes kezelt ügyfélrendszere elérhetővé válhat, miközben a műveletek legitim rendszergazdai tevékenységnek látszanak. A CISA ezért a sérülékenységet felvette a Known Exploited Vulnerabilities katalógusba, és sürgős javítást írt elő, az érintetteknek legalább a SimpleHelp 5.5.16 vagy 6.0 RC2 verzióra kell frissíteniük, illetve átmenetileg javasolt az OIDC letiltása vagy a technikusi hozzáférés IP-cím alapú korlátozása.

FORRÁS