SimpleHelp CVE-2026-48558: Kritisch!

SimpleHelp CVE-2026-48558: Kritisch!

Sicherheitswarnung für MSPs und IT-Dienstleister: Sofortiges Update erforderlich!

Eine extrem kritische Sicherheitslücke in SimpleHelp RMM wurde öffentlich bekannt und wird bereits aktiv ausgenutzt. Mit einem CVSS-Score von 10.0 und der Aufnahme in den CISA Known Exploited Vulnerabilities (KEV) Catalog ist die Situation alarmierend. Die Frist zur Behebung gemäß BOD 26-04 läuft morgen, am 07.07.2026, ab.

Was ist CVE-2026-48558?

Bei der CVE-2026-48558 handelt es sich um einen Authentication Bypass im OIDC-Authentifizierungsfluss von SimpleHelp RMM. Wenn OIDC konfiguriert ist, akzeptiert SimpleHelp Identitäts-Token beim Login, ohne deren kryptografische Signatur zu prüfen.

Dies ermöglicht es einem entfernten, nicht authentifizierten Angreifer, gefälschte Token mit beliebigen Identitätsansprüchen zu senden und so eine vollständige Techniker-Sitzung zu übernehmen. In bestimmten Konfigurationen wird damit sogar die Multi-Faktor-Authentifizierung (MFA) umgangen. Da SimpleHelp ein RMM-Tool (Remote Monitoring and Management) ist, führt dies zu einer vollständigen Kompromittierung der verwalteten Endpunkte – ein klassischer MSP-Supply-Chain-Angriff.

Betroffene Versionen

Betroffen sind alle Installationen von SimpleHelp RMM, bei denen die OIDC-Authentifizierung aktiviert ist und die den Patch vom Mai 2026 noch nicht installiert haben.

Wie funktioniert der Angriff?

Angreifer nutzen den Zugriff als privilegierter Techniker, um Schadsoftware über die RMM-Infrastruktur an alle verwalteten Clients zu verteilen. Berichte zeigen den Einsatz des TaskWeaver-Loaders, der gezielt dazu dient, weitere Payloads auf den Zielsystemen zu platzieren. Aufgrund der hohen Kritikalität wurde über die CISA-Richtlinie BOD 26-04 ein extrem kurzes 3-Tage-Mandat zur Behebung ausgesprochen.

Gegenmaßnahmen: Jetzt handeln!

  1. Sofort patchen: Installieren Sie umgehend das neueste Sicherheitsupdate von SimpleHelp. Warten Sie nicht bis zum Ablauf der KEV-Frist.
  2. Netzwerkzugriff beschränken: Limitieren Sie den Zugriff auf das SimpleHelp-Portal auf bekannte, vertrauenswürdige IP-Adressen (Whitelist), falls dies technisch möglich ist.
  3. Logs prüfen: Suchen Sie nach ungewöhnlichen Logins über OIDC, insbesondere von unbekannten IP-Adressen oder mit untypischen Identitätsclaims.
  4. Clients scannen: Überprüfen Sie verwaltete Endpunkte auf ungewöhnliche Prozesse oder Dateien, die auf den TaskWeaver-Loader hindeuten könnten.

Quellen

Quelle: CISA KEV Catalog, Stand 08.07.2026

Kommentar abschicken