<p>A <strong>CISA</strong> adicionou em 29 de junho de 2026 a falha <strong>CVE-2026-48558</strong> do <strong>SimpleHelp</strong> (plataforma de RMM) ao catálogo de Vulnerabilidades Conhecidas e Exploradas (<strong>KEV</strong>) após confirmar exploração ativa, exigindo que agências federais americanas corrijam a falha dentro do prazo definido pela diretriz BOD 26-04.</p><h2>Causa raiz</h2><p>A vulnerabilidade está na validação de tokens OIDC do SimpleHelp: quando a autenticação OIDC está configurada, tokens de identidade enviados no login são aceitos sem verificação da assinatura criptográfica. Isso permite que um atacante remoto não autenticado envie um token forjado com afirmações de identidade arbitrárias e obtenha uma sessão de técnico totalmente autenticada, podendo inclusive contornar a autenticação multifator em algumas configurações.</p><h2>Exploração ativa documentada</h2><p>Pesquisadores da Blackpoint documentaram exploração real em ambiente corporativo: os atacantes usam o acesso de técnico para implantar o <code>TaskWeaver</code>, um carregador de malware em JavaScript, seguido do <code>Djinn Stealer</code>, um infostealer multiplataforma (Windows, macOS, Linux) que rouba credenciais de nuvem, chaves SSH, tokens de IA (Claude, Gemini) e carteiras de criptomoedas.</p><h2>Sistemas afetados</h2><p>SimpleHelp versões 5.5.15 e anteriores, e 6.0 pré-release, com OIDC habilitado. Cerca de 14 mil servidores SimpleHelp estavam expostos publicamente à época da divulgação, com aproximadamente 1.000 já configurados de forma vulnerável.</p><h2>Mitigação</h2><p>Atualizar para SimpleHelp 5.6.9 ou superior, desabilitar OIDC até a atualização, revisar contas de técnico criadas recentemente e revogar sessões suspeitas.</p>

Fonte e transparência

Fonte original: bleepingcomputer.com

Data de publicação original: 29/06/2026

O IPSecure Hub resume e contextualiza em português do Brasil. Detalhes ofensivos, PoCs e instruções de exploração não são reproduzidos.