SimpleHelp CVE-2026-48558: Kritisch!
Sicherheitswarnung für MSPs und IT-Dienstleister: Sofortiges Update erforderlich!
Eine extrem kritische Sicherheitslücke in SimpleHelp RMM wurde öffentlich bekannt und wird bereits aktiv ausgenutzt. Mit einem CVSS-Score von 10.0 und der Aufnahme in den CISA Known Exploited Vulnerabilities (KEV) Catalog ist die Situation alarmierend. Die Frist zur Behebung gemäß BOD 26-04 läuft morgen, am 07.07.2026, ab.
Was ist CVE-2026-48558?
Bei der CVE-2026-48558 handelt es sich um einen Authentication Bypass im OIDC-Authentifizierungsfluss von SimpleHelp RMM. Wenn OIDC konfiguriert ist, akzeptiert SimpleHelp Identitäts-Token beim Login, ohne deren kryptografische Signatur zu prüfen.
Dies ermöglicht es einem entfernten, nicht authentifizierten Angreifer, gefälschte Token mit beliebigen Identitätsansprüchen zu senden und so eine vollständige Techniker-Sitzung zu übernehmen. In bestimmten Konfigurationen wird damit sogar die Multi-Faktor-Authentifizierung (MFA) umgangen. Da SimpleHelp ein RMM-Tool (Remote Monitoring and Management) ist, führt dies zu einer vollständigen Kompromittierung der verwalteten Endpunkte – ein klassischer MSP-Supply-Chain-Angriff.
Betroffene Versionen
Betroffen sind alle Installationen von SimpleHelp RMM, bei denen die OIDC-Authentifizierung aktiviert ist und die den Patch vom Mai 2026 noch nicht installiert haben.
Wie funktioniert der Angriff?
Angreifer nutzen den Zugriff als privilegierter Techniker, um Schadsoftware über die RMM-Infrastruktur an alle verwalteten Clients zu verteilen. Berichte zeigen den Einsatz des TaskWeaver-Loaders, der gezielt dazu dient, weitere Payloads auf den Zielsystemen zu platzieren. Aufgrund der hohen Kritikalität wurde über die CISA-Richtlinie BOD 26-04 ein extrem kurzes 3-Tage-Mandat zur Behebung ausgesprochen.
Gegenmaßnahmen: Jetzt handeln!
- Sofort patchen: Installieren Sie umgehend das neueste Sicherheitsupdate von SimpleHelp. Warten Sie nicht bis zum Ablauf der KEV-Frist.
- Netzwerkzugriff beschränken: Limitieren Sie den Zugriff auf das SimpleHelp-Portal auf bekannte, vertrauenswürdige IP-Adressen (Whitelist), falls dies technisch möglich ist.
- Logs prüfen: Suchen Sie nach ungewöhnlichen Logins über OIDC, insbesondere von unbekannten IP-Adressen oder mit untypischen Identitätsclaims.
- Clients scannen: Überprüfen Sie verwaltete Endpunkte auf ungewöhnliche Prozesse oder Dateien, die auf den TaskWeaver-Loader hindeuten könnten.
Quellen
- CISA KEV Catalog — SimpleHelp Authentication Bypass
- NVD — CVE-2026-48558 Detail
- SimpleHelp Advisory — Security Update 2026-05
- CISA BOD 26-04 — Prioritizing Security Updates based on Risk
- threat-modeling.com — Analyse MSP-Supply-Chain-Angriffe
Quelle: CISA KEV Catalog, Stand 08.07.2026
Kommentar abschicken