SimpleHelp のリモート監視・管理(RMM)ソフトウェアに存在する認証バイパスの脆弱性が、マルウェア配布に悪用されていることが明らかになりました。
CVE-2026-48558(CVSSスコア:10)として追跡されているこの脆弱性は、SimpleHelp の OpenID Connect(OIDC)認証フローに影響するもので、リモートの攻撃者が完全に認証されたテクニシャンセッションを取得できる状態となっています。
この問題は、OIDC 認証が設定されている場合にアプリケーションがアイデンティティトークンの暗号署名を検証しないために発生します。これにより、未認証の攻撃者がログイン時に偽造トークンを送信することが可能になります。
インターネットに公開された SimpleHelp サーバーにアクセスすることで、攻撃者はそのサーバーを通じて管理されているすべてのシステムにファイルを転送したり、コマンドを実行したりすることができます。
Blackpoint が観測した攻撃では、脅威アクターがこのアクセスを悪用し、2種類のマルウェアファミリーを展開しました。Node.js ローダーの「TaskWeaver」と、クロスプラットフォーム対応の情報窃取ツール「Djinn Stealer」です。
TaskWeaver はシステムのフィンガープリンティングに使用されるとともに、完全な Node.js アクセス権限で実行される JavaScript ペイロードの展開にも用いられました。Blackpoint によると、このローダーはシンプルな構造を持ち、暗号化されたあらゆるペイロードの展開に利用できるとのことです。
Djinn は開発者マシンから機密情報を窃取することを目的として設計されており、クラウド認証情報、SSH キー、インフラ構成情報、ソース管理トークン、パッケージレジストリの認証情報、開発ツール、暗号資産ウォレット、そしてすべてのブラウザデータが標的となっています。
「特に注目すべき点は、AI開発ツールの認証情報を窃取することで、チームが構築中のパイプライン自体を改ざんする足がかりを攻撃者に与えてしまう点です」と Blackpoint は指摘しています。
このセキュリティ上の欠陥は、5月下旬に SimpleHelp バージョン 5.5.16 および 6.0 RC2 で修正されました。各組織は速やかにアップデートを適用するとともに、アプリケーションのログを確認し、見覚えのないテクニシャン名やメールアドレスが存在しないかを調査して、潜在的な侵害を特定することが推奨されます。
月曜日、Blackpoint の報告を受けて、米国のサイバーセキュリティ機関 CISA は CVE-2026-48558 を既知の悪用された脆弱性(KEV)カタログに追加しました。CISA は BOD 26-04 のガイダンスに基づき、連邦機関に対して3日以内にパッチを適用するよう促しています。
翻訳元: https://www.securityweek.com/critical-simplehelp-vulnerability-exploited-for-malware-delivery/
