Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2026-48558 в каталог Known Exploited Vulnerabilities (KEV) - на основании данных об эксплуатации в реальных атаках. Проблема затрагивает программное обеспечение для удаленного доступа SimpleHelp и позволяет злоумышленнику получить полный сеанс техподдержки без аутентификации.
Уязвимость CVE-2026-48558
CVE-2026-48558 представляет собой обход аутентификации (Authentication Bypass) в механизме OIDC (OpenID Connect) - протоколе единого входа, используемом во многих корпоративных средах. Причиной стало отсутствие проверки криптографической подписи identity-токенов JWT (JSON Web Token). В уязвимых версиях SimpleHelp (5.5.15 и все более ранние, а также предрелизные сборки 6.0) сервер принимает подделанный токен без проверки валидности подписи. Удаленный, не прошедший аутентификацию атакующий может сформировать произвольный токен с фиктивными идентификационными данными и получить сеанс штатного технического специалиста. В отдельных настройках это также позволяет обойти многофакторную аутентификацию (MFA). Для эксплуатации не требуется никакого взаимодействия с пользователем.
Критичность уязвимости подтверждается оценкой CVSSv3.1 - 10.0 (максимум). Вектор атаки сетевой, сложность низкая, необходимые привилегии отсутствуют, влияние на конфиденциальность, целостность и доступность - полное. По шкале CVSSv4.0 присвоено 9,5 (критический уровень). SimpleHelp - решение для удаленного администрирования, часто применяется службами поддержки и MSP-провайдерами. Получение сеанса техника дает атакующему доступ к управляемым устройствам, возможность выполнения команд, извлечения данных и дальнейшего распространения внутри сети.
CISA призывает организации немедленно принять меры. Ведомство ссылается на рекомендации производителя: разработчик SimpleHelp выпустил исправленные версии 5.5.16 и 6.0 RC2. Патч устраняет ошибку проверки подписи JWT в процессе аутентификации OIDC. Всем пользователям настоятельно рекомендовано обновить ПО до указанных сборок. Если немедленное обновление невозможно, CISA советует временно отключить использование OIDC-аутентификации или ограничить внешний доступ к интерфейсу SimpleHelp, пока патч не будет установлен. Включение в каталог KEV означает, что CISA считает эксплуатацию этой уязвимости реальной угрозой для федеральных гражданских агентств США, однако аналогичные риски существуют для любого бизнеса, использующего продукт.
Ситуация с CVE-2026-48558 характерна для класса уязвимостей, связанных с некорректной обработкой JWT в системах единого входа. Отсутствие проверки подписи - распространенная ошибка, которую разработчики допускают при внедрении OIDC или OAuth. Регулярные случаи подобных проблем в продуктах удаленного доступа подчеркивают необходимость тщательного аудита механизмов аутентификации перед внедрением в инфраструктуру. Пользователям SimpleHelp стоит также проверить, включена ли OIDC-аутентификация, и если да - удостовериться в установке последней версии. ИБ-специалистам следует рассматривать любые решения для удаленного управления как критический элемент периметра безопасности и мониторить трафик на предмет аномалий, связанных с подделкой токенов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48558
- https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/
- https://simple-help.com/security/simplehelp-security-update-2026-05
- https://www.cisa.gov/news-events/alerts/2026/06/29/cisa-adds-one-known-exploited-vulnerability-catalog
