TokyoBlackHatNews

cyberpress.org 4分で読了

SimpleHelp OIDCバイパス脆弱性:攻撃者がテクニシャンセッションを奪取しマルウェアを展開

SimpleHelp リモートモニタリング・管理(RMM)ソフトウェアに、認証をバイパスできる深刻な脆弱性が発見されました。

この欠陥を悪用すると、未認証の攻撃者がSimpleHelpのOpenID Connect(OIDC)認証フロー内でIDトークンを偽造し、正規の認証情報なしに完全な認証済みテクニシャンセッションを取得できます。

Blackpointによる情報開示を受け、米サイバーセキュリティ・インフラセキュリティ庁(CISA)はCVE-2026-48558既知の悪用された脆弱性カタログに追加しました。これにより、実際の環境での悪用が公式に確認され、影響を受ける組織は早急なパッチ適用が求められています。

今回確認された侵入は、脅威アクターがCVE-2026-48558を悪用してインターネットに公開されたSimpleHelpサーバ上で認証済みテクニシャンセッションを取得したことに端を発しています。

攻撃者はフィッシングや単独のエクスプロイトによってマルウェアを展開するのではなく、SimpleHelp正規のリモート管理機能を悪用しました。信頼されたRMMチャネルを通じてファイル転送やコマンド実行を行うことで、悪意ある活動が通常の管理業務に紛れ込む形になっています。

攻撃者は「jquery.js」という名前のJavaScriptファイルを展開しました。このファイルはCloudflareがホストする一時的なURLから取得され、Node.jsを通じて(node.exe <path>\jquery.js)実行されました。

紛らわしいファイル名とは裏腹に、1.08MBの1行構成ファイルは正規のjQueryライブラリとはまったく無関係のものでした。分析チーム(APG)はこれを、「TaskWeaver」と命名した未文書のマルウェアローダーであると特定しています。

TaskWeaverは実行時にNode.jsのネイティブrequire関数を再構築します。これにより、セキュリティツールが通常検知するrequire("crypto")のような静的な呼び出しを回避し、OS・ホスト名・MACアドレス・プロセス情報を含むホストフィンガープリントを収集します。

このローダーはビーコン通信をハイブリッド暗号化で保護しています。データはランダムに生成されたAES-256-GCMキーで暗号化され、そのキーは埋め込みのRSA-2048公開鍵(RSA-OAEP)でラップされます。この仕組みにより、オペレーターの秘密鍵なしにはビーコントラフィックの内容を解読できないようになっています。

TaskWeaverはdeliverという単一コマンドに対応しており、受信したJavaScriptペイロードをNode.jsランタイムへの完全アクセス権を持った状態で実行します。これにより、ローダー本体を変更することなくクレデンシャルスティーラーやバックドア、ランサムウェアを送り込むことが可能です。

第2段階のペイロードであるDjinn Stealerは、Windows・macOS・Linuxを標的としています。ルールベースの収集エンジンを実装しており、以下を含む非常に広範なクレデンシャルを対象にしています。

なかでもAIアシスタントのトークン窃取は特に重大な意味を持ちます。多くのAIツールはMCP(Model Context Protocol)を用いて、開発者に代わりリポジトリ・データベース・クラウドアカウントに接続しているためです。

Blackpointによると、Djinnは収集した情報をgzip圧縮されたPAX tarアーカイブにまとめ、AES-256-GCMで暗号化したうえでHTTP経由で外部に送信します。

通信チャネル自体はネットワーク層では暗号化されていないものの、アーカイブの内容はTaskWeaverに埋め込まれたのと同一のRSA公開鍵によって保護されています。SimpleHelpを運用している組織は、CVE-2026-48558のパッチを直ちに適用してください。

対応は感染したエンドポイントの隔離にとどまらず、侵害されたシステムからアクセス可能だったすべてのクレデンシャル(クラウドトークン・SSHキー・パッケージレジストリの認証情報・AIツールの設定情報を含む)を漏洩済みとして扱う必要があります。

マネージドサービスプロバイダー(MSP)にとっては、脆弱なRMM サーバが1台あるだけで、顧客ベース全体が被害に晒される可能性があります。

注記: IPアドレスおよびドメインは、誤解決やハイパーリンクを防ぐために意図的にデファング処理(例:[.])されています。MISP・VirusTotal・SIEMなどのコントロールされた脅威インテリジェンスプラットフォーム内でのみリファング処理を行ってください。

翻訳元: https://cyberpress.org/simplehelp-oidc-bypass/

ソース: cyberpress.org
#CISA #CVE-2026-48558 #Djinn Stealer #MSPセキュリティ #OIDC認証バイパス #RMM脆弱性 #SimpleHelp #TaskWeaver #クレデンシャル窃取 #マルウェアローダー

関連記事

「BioShocking」攻撃——AIブラウザのガードレールを突破し認証情報を盗み出す新手法

X、MCPサーバーを正式ローンチ——Cursor・Claude・GrokをX APIに即時接続

CactiフレームワークにCritical脆弱性——認証不要のSQLインジェクション攻撃にさらされるリスク