SimpleHelp-Lücke CVE-2026-48558 für Malware-Verteilung ausgenutzt

Zusammenfassung

Eine kritische Schwachstelle in der Fernwartungs- und Monitoring-Software SimpleHelp wird nach Angaben von Blackpoint bereits aktiv ausgenutzt, um Schadsoftware auf verwaltete Systeme zu bringen. Die als CVE-2026-48558 erfasste Lücke mit einem CVSS-Wert von 10 betrifft den OpenID-Connect-Authentifizierungsablauf von SimpleHelp und ermöglicht es einem entfernten Angreifer, eine vollständig authentifizierte Techniker-Sitzung zu erlangen. Ursache ist laut Beschreibung, dass die Anwendung bei aktivierter OIDC-Anmeldung die kryptografische Signatur von Identitätstokens nicht prüft. Dadurch kann ein nicht authentifizierter Angreifer beim Login ein gefälschtes Token einschleusen. Wer so Zugriff auf einen aus dem Internet erreichbaren SimpleHelp-Server erhält, kann Dateien übertragen und Befehle auf allen Systemen ausführen, die über diesen Server verwaltet werden. Beobachtete Angriffe dienten laut Blackpoint unter anderem dazu, Zugangsdaten, SSH-Schlüssel, Krypto-Wallets und Entwicklungswerkzeuge von Entwicklerrechnern abzugreifen.

Blackpoint hat einen Angriff beobachtet, bei dem die Schwachstelle CVE-2026-48558 in SimpleHelp missbraucht wurde, um zwei Malware-Familien auszurollen: TaskWeaver und Djinn Stealer. TaskWeaver ist ein auf Node.js basierender Loader, Djinn ein plattformübergreifender Infostealer.

Nach Darstellung von Blackpoint nutzten die Angreifer die über die Lücke erlangte Techniker-Sitzung, um Schadcode auf verwalteten Systemen zu platzieren. TaskWeaver diente dabei zur System-Fingerabdruckerkennung und zum Ausbringen einer JavaScript-Nutzlast, die mit vollem Node.js-Zugriff ausgeführt wurde. Der Loader sei einfach aufgebaut und könne laut Blackpoint zum Verteilen beliebiger verschlüsselter Nutzlasten verwendet werden.

Djinn ist laut Blackpoint gezielt darauf ausgelegt, Geheimnisse von Entwicklerrechnern zu stehlen. Dazu zählen Cloud-Zugangsdaten, SSH-Schlüssel, Infrastrukturkonfigurationen, Tokens für Quellcodeverwaltung, Authentifizierungsdaten für Paketregistrys, Entwicklungswerkzeuge, Kryptowährungs-Wallets sowie sämtliche Browser-Daten.

Besonders hervor hebt Blackpoint, dass die Malware auch Anmeldedaten für Werkzeuge der KI-Entwicklung abgreift. Das verschaffe Angreifern einen Ansatzpunkt, um genau die Pipelines zu manipulieren, auf denen Teams ihre Arbeit aufbauen.

Die Ursache der Schwachstelle liegt laut Beschreibung im OIDC-Authentifizierungsfluss von SimpleHelp. Ist diese Anmeldemethode konfiguriert, überprüft die Anwendung die kryptografische Signatur von Identitätstokens nicht. Ein nicht authentifizierter Angreifer kann dadurch beim Anmeldevorgang ein gefälschtes Token einreichen und so eine vollständig authentifizierte Techniker-Sitzung erhalten.

Die Sicherheitslücke wurde laut Herstellerangaben Ende Mai in SimpleHelp 5.5.16 und 6.0 RC2 behoben. Organisationen sollen ihre Installationen aktualisieren und die Anwendungsprotokolle auf unbekannte Technikernamen und E-Mail-Adressen prüfen, um mögliche Kompromittierungen zu erkennen.

Am Montag nahm die US-Cybersicherheitsbehörde CISA die CVE-2026-48558 nach dem Bericht von Blackpoint in ihren Katalog der bekannten ausgenutzten Schwachstellen, den Known Exploited Vulnerabilities Catalog, auf. Bundesbehörden forderte CISA auf, die Lücke innerhalb von drei Tagen zu schließen, im Einklang mit der Vorgabe BOD 26-04.

SimpleHelp-Lücke CVE-2026-48558 für Malware-Verteilung ausgenutzt

Ähnliche Artikel

Neueste Artikel