CISA、悪用進行中のSimpleHelp認証バイパス脆弱性をKEVカタログに追加

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SimpleHelp製リモートサポートソフトウェアに影響する深刻な認証バイパス脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加し、実際の攻撃での悪用を公式に確認しました。

この脆弱性はCVE-2026-48558として追跡されており、2026年6月29日にカタログへ追加され、修正期限は2026年7月2日に設定されています。連邦政府機関および本製品を使用する組織には、緩和策を適用するための猶予がわずか3日間しか与えられていません。

この脆弱性はSimpleHelp のOpenID Connect(OIDC)認証フローに存在し、CWE-347(暗号署名の不適切な検証)に分類されます。

OIDC認証が設定されている場合、アプリケーションはログイン時に送信されるIDトークンを、暗号署名を検証せずに受け入れてしまいます。

この設計上の欠陥により、リモートの未認証攻撃者が任意のIDクレームを含むトークンを偽造し、SimpleHelp を騙して完全に認証されたテクニシャンセッションを付与させることが可能となります。

テクニシャンセッションはリモートアクセスとシステム管理において通常高い権限を持つため、悪用に成功した攻撃者は標的環境に対して大きな制御権を手にすることになります。

さらに懸念されるのは、CISAが指摘しているように、特定の構成においてこのバイパス手法が多要素認証(MFA)による保護をも回避できる点です。

MFAは認証情報を悪用した攻撃に対する最後の砦として重視されることが多いため、今回のバイパスは、MFAが不正アクセスに対する十分な保護を提供していると考えていた組織にとって、リスクを大幅に高めるものです。

CISAのKEVエントリではランサムウェアの使用状況が「不明」とされていますが、このカタログへの掲載は、実際の攻撃での悪用が進行中であることを公式に確認するものです。

SimpleHelp のようなリモートサポートツールは、侵害に成功すれば多数のクライアントネットワークへの足がかりを得られることから、脅威アクターにとって歴史的に魅力的な標的となっています。これは、同様のリモート監視・管理(RMM)プラットフォームが関与した過去のインシデントでも見られたパターンです。

CISAの指令は、影響を受ける組織に対し、リスクエクスポージャーに基づいてセキュリティ更新を優先する拘束的運用指令(BOD)26-04に従い、ベンダー提供の緩和策を適用することを求めています。

また、組織は該当する場合、CISAのフォレンジックトリアージ要件に関するガイダンスにも従う必要があります。主な修正手順は以下のとおりです。

OIDC認証を有効にしてSimpleHelp を使用している組織は、未認証での悪用可能性・MFAバイパスの潜在リスク・テクニシャンセッションが通常持つ高い権限という要素が重なることを踏まえ、これを最優先のインシデントとして対処することが強く求められます。

翻訳元: https://cyberpress.org/cisa-exploited-simplehelp-authentication/

ソース: cyberpress.org