Uma falha de autenticação com score máximo de 10.0 no SimpleHelp está sendo explorada ativamente para comprometer servidores RMM e roubar credenciais em larga escala. A vulnerabilidade CVE-2026-48558 permite que atacantes sem credenciais criem contas de técnico com privilégios administrativos, transformando plataformas de suporte remoto em vias de intrusão. A CISA adicionou o bug ao seu catálogo de vulnerabilidades exploradas com prazo de correção encerrado em 2 de julho.

Falha quebra autenticação OIDC por completo

O CVE-2026-48558 afeta o SimpleHelp, plataforma de suporte remoto e gerenciamento de endpoints usada por provedores de serviços gerenciados (MSPs) e equipes de TI corporativas. A vulnerabilidade reside no fluxo de autenticação OpenID Connect (OIDC), que aceita tokens de identidade forjados sem verificar sua assinatura criptográfica, conforme detalhado pelo NVD.

A versão corrigida é a 5.5.16 para o ramo 5.5 e 6.0 RC 2 para o ramo 6.0, segundo o aviso de segurança da SimpleHelp. Versões 5.5.15 e anteriores, além de builds pré-release do 6.0, permanecem vulneráveis quando a autenticação OIDC está habilitada — incluindo integrações com Azure AD.

O pesquisador Zach Hanley, da Horizon3.ai, revelou a falha em 12 de junho de 2026. A empresa de segurança descreveu que, quando um grupo de técnicos está associado ao provedor OIDC e logins via grupo são permitidos, um atacante remoto não autenticado pode criar e autenticar-se como um novo técnico sem interação do usuário. Mesmo a autenticação multifator (MFA) pode ser contornada, pois o fluxo de primeiro login permite que o atacante registre seu próprio método MFA após burlar as verificações de identidade.

Exploração ativa gera dois malwares novos

A falha já saiu da categoria de vulnerabilidade corrigida para caminho de intrusão ativo. A Blackpoint Cyber documentou, em relatório de 1 de julho de 2026, uma intrusão real em que o atacante explorou o CVE-2026-48558 contra um servidor SimpleHelp exposto à internet, conforme analisado pela INVADERS.

A cadeia de ataque utilizou dois malwares previamente desconhecidos. O primeiro estágio foi o TaskWeaver, um loader em Node.js ofuscado entregue como um arquivo chamado jquery.js — nome enganoso que imita a biblioteca legítima — e executado via node.exe. O TaskWeaver apresenta comportamento de comando e controle com comunicação criptografada e funciona como canal de entrega de payloads reutilizável.

O segundo estágio foi o Djinn Stealer, um infostealer multiplataforma que atinge Windows, macOS e Linux. Segundo a Blackpoint, o Djinn coleta credenciais de nuvem, tokens de controle de versão, autenticação de registries de pacotes, segredos de infraestrutura, material SSH, dados de navegador, histórico de shell, carteiras de criptomoedas e tokens de assistentes de IA.

O raio de impacto vai além dos endpoints infectados. Credenciais roubadas de workstations de desenvolvedores ou sistemas administrativos podem comprometer contas em nuvem, repositórios, registries de pacotes, ambientes de CI/CD e infraestrutura de produção.

Cronologia do incidente

  • 9 de junho de 2026 — SimpleHelp lança correções nas versões 5.5.16 e 6.0 RC 2.
  • 12 de junho de 2026 — Divulgação pública por Zach Hanley da Horizon3.ai com detalhes técnicos.
  • 30 de junho de 2026 — Blackpoint Cyber detecta intrusão real explorando a falha com TaskWeaver e Djinn Stealer.
  • 1 de julho de 2026 — INVADERS publica análise detalhada da cadeia de ataque.
  • 2 de julho de 2026 — CISA adiciona CVE-2026-48558 ao Known Exploited Vulnerabilities (KEV) com prazo de correção imediato para agências federais.
  • 6 de julho de 2026 — SecurityOnline destaca a falha como prioridade crítica no relatório semanal de ameaças.

Por que comprometer RMM é devastador

Plataformas de gerenciamento remoto são alvos estratégicos porque já possuem o acesso que atacantes buscam. Elas controlam workstations, inventários de dispositivos, shells remotos, transferências de arquivos e automações com privilégios elevados. Um único servidor SimpleHelp exposto pode representar acesso a dezenas ou centenas de ambientes de clientes, no caso de MSPs.

A Beazley Security, em advisory publicado, observou que o SimpleHelp tem histórico de ser alvo de brokers de acesso inicial e operadores de ransomware. A empresa recomenda atualização imediata e revisão completa de sinais de comprometimento.

Medidas de defesa e correção

A correção primária é atualizar para SimpleHelp 5.5.16 ou superior (ramo 5.5) ou 6.0 RC 2 ou superior (ramo 6.0), seguindo o guia de atualização oficial. Servidores expostos à internet com OIDC habilitado devem ser priorizados.

Como mitigação temporária, administradores podem desabilitar a autenticação OIDC via painel do SimpleHelp, acessando cada grupo de técnicos, na aba Authentication, e revertendo para autenticação local por senha. Controles de rede como allowlists de IP ou acesso restrito via VPN reduzem o risco durante a janela de correção.

Equipes de defesa devem auditar ativamente a lista de técnicos no SimpleHelp — especialmente contas criadas após 12 de junho —, revisar logs de acesso em /opt/SimpleHelp/logs/server.log, e monitorar telemetria de firewalls e provedores de identidade para requisições inesperadas ao endpoint /technician. Endpoints gerenciados pelo servidor devem ser verificados quanto à presença dos arquivos jquery.js maliciosos ou atividade do Djinn Stealer.

Fontes e referências