Kritische SimpleHelp-Lücke erlaubt Anlage privilegierter Support-Konten

Zusammenfassung

In der Fernwartungssoftware SimpleHelp steckt eine kritische Schwachstelle, über die Angreifer ohne vorherige Authentifizierung neue Technikerkonten mit erweiterten Rechten anlegen können. Betroffen ist die als CVE-2026-48558 erfasste Lücke in SimpleHelp 5.5.15 und älteren Versionen sowie in Vorabversionen von 6.0. Nach Angaben von Horizon3.ai tritt das Problem bei Servern auf, die für die Anmeldung OpenID Connect nutzen, also den generischen OIDC-Mechanismus oder Azure AD OIDC. In diesen Konstellationen kann ein Angreifer die Anmeldung eines neuen Technikerkontos erzwingen, ohne den vorgesehenen Mehrfaktorprozess durchlaufen zu müssen. Das ist besonders relevant, weil solche Konten laut Horizon3.ai standardmäßig weitreichende Verwaltungsfunktionen ausführen können, darunter Fernzugriff auf verwaltete Endpunkte und das Ausführen von Skripten. SimpleHelp hat die Lücke mit den Versionen 5.5.16 und 6.0RC2 behoben. Hinweise auf aktive Ausnutzung liegen weder von SimpleHelp noch von Horizon3.ai vor.

Die Schwachstelle CVE-2026-48558 beruht laut Horizon3.ai auf der Art, wie SimpleHelp Identitätsbestätigungen eines OIDC-Identitätsanbieters prüft. Ist OIDC aktiviert, kann ein nicht angemeldeter Angreifer ein neues Technikerkonto erstellen und sich damit anmelden, ohne die Mehrfaktor-Authentifizierung zu durchlaufen. Horizon3.ai-Forscher Zach Hanley schreibt, dass dieses Technikerkonto standardmäßig privilegierte Verwaltungsaufgaben übernehmen kann, etwa den Fernzugriff auf verwaltete Endpunkte oder das Ausführen von Skripten.

Nicht jeder verwundbare SimpleHelp-Server ist gleichermaßen betroffen. Nach Angaben der Forscher greift die Lücke nur bei einem Teil der Installationen, nämlich dort, wo OIDC für die Authentifizierung eingesetzt wird. Dazu zählen sowohl generisches OIDC als auch Azure AD OIDC, die laut dem Bericht insbesondere in großen Unternehmen verbreitet sind.

Wie groß die potenzielle Angriffsfläche ist, lässt sich laut den im Bericht genannten Messungen nur näherungsweise abschätzen. Shodan zeigt demnach rund 14.000 öffentlich erreichbare SimpleHelp-Server. Eine Auswertung einer Zufallsstichprobe deutet darauf hin, dass ungefähr 7,2 Prozent davon für OIDC-Authentifizierung konfiguriert sind. Zusätzlich stellte Horizon3.ai fest, dass die Option „Anmeldungen authentifizierter Gruppen erlauben“ in vielen Fällen aktiviert ist.

SimpleHelp hat die Schwachstelle am 9. Juni mit den Versionen 5.5.16 und 6.0RC2 behoben. Organisationen sollen laut Bericht auf diese Versionen aktualisieren, um Angriffe über CVE-2026-48558 zu verhindern. Falls ein Update nicht möglich ist, nennt Horizon3.ai als Gegenmaßnahme die Beschränkung der Anmeldequellen für Techniker per IP-basierter Allowlist.

Für die Erkennung möglicher Kompromittierungen haben die Forscher zudem Indikatoren veröffentlicht. Dazu zählen neue authentifizierte Technikerkonten mit unbekannten oder verdächtigen Namen und oder E-Mail-Adressen. Relevante Spuren können sich außerdem in den Protokolldateien unter „/opt/SimpleHelp/logs/server.log“ sowie „/opt/SimpleHelp/logs//server.log“ finden; dort können Registrierungen von Technikern, E-Mail-Adressen und Konfigurationsänderungen auftauchen, die von unerlaubt angelegten Konten vorgenommen wurden.

Sowohl SimpleHelp als auch Horizon3.ai haben nach eigenen Angaben bislang keine Belege für eine aktive Ausnutzung veröffentlicht. Der Bericht verweist jedoch darauf, dass das Produkt in der Vergangenheit auf erhebliches Interesse von Bedrohungsakteuren gestoßen sei.

Kritische SimpleHelp-Lücke erlaubt Anlage privilegierter Support-Konten

Ähnliche Artikel

Neueste Artikel