Uma falha crítica no SimpleHelp expôs, até a correção liberada em 9 de junho, servidores de suporte remoto que usam OpenID Connect a contas técnicas criadas sem autenticação válida. O problema, rastreado como CVE-2026-48558, afeta ambientes expostos na internet e preocupa porque abre caminho para acesso remoto privilegiado, execução de scripts e bypass de MFA.
Resumo:
- A brecha afeta versões 5.5.15 e anteriores, além de pré-releases 6.0.
- O abuso depende de OIDC habilitado e grupos com login federado ativo.
- O invasor pode criar um técnico novo e operar endpoints gerenciados.
Quem está exposto
O caso não atinge todo servidor SimpleHelp vulnerável por padrão. Segundo a Horizon3.ai, a exploração depende de três condições combinadas: OIDC habilitado, ao menos um grupo técnico associado ao provedor de identidade e a opção “Allow group authenticated logins” ativa. É um detalhe de configuração, mas em plataformas de acesso remoto esse detalhe define a fronteira entre um painel administrativo seguro e um novo operador surgindo sem convite.
Os pesquisadores estimaram quase 14 mil instâncias do produto expostas publicamente e apontaram, a partir de uma amostra, que cerca de 7,2% usavam o método vulnerável. Em software de suporte e RMM, essa taxa já basta para transformar uma falha pontual em risco operacional amplo. O site já vinha destacando o peso de falhas exploráveis sem barreiras fortes, como em casos recentes de execução remota sem autenticação, e o SimpleHelp entra nessa lista por um caminho diferente: a criação indevida de identidade com privilégios.
| Item | Detalhe |
|---|---|
| Versões afetadas | 5.5.15 e anteriores; pré-releases 6.0 |
| Condição chave | OIDC habilitado com grupo técnico federado |
| Impacto | Criação de técnico novo, acesso remoto e execução de scripts |
| Versões corrigidas | 5.5.16 e 6.0RC2 |
Falha no OIDC
O núcleo técnico do problema está na forma como o SimpleHelp valida as asserções vindas do provedor de identidade. A Horizon3.ai diz que a aplicação suporta OIDC genérico e Azure AD OIDC, mas falha ao tratar essa resposta de autenticação em certos cenários. Com isso, um atacante não autenticado pode se registrar como novo “Technician” sem passar pelo fluxo legítimo do IdP. Quando o servidor exige MFA para técnicos, o efeito continua grave: como o primeiro login permite ao novo usuário registrar seu próprio segundo fator, a proteção vira etapa posterior ao abuso.
Na prática, isso significa que a conta forjada já nasce com capacidade de abrir sessões remotas, executar scripts e administrar endpoints. Em ambientes de MSP e help desk, essa superfície vale mais do que um login comum, porque encurta o caminho entre comprometimento inicial e ação sobre máquinas de clientes. O cenário conversa com lições de outras falhas exploradas com correção urgente: não basta esperar indício de ataque em massa para reagir, sobretudo quando o produto serve como ponto central de administração.
Mitigação imediata
A correção direta é atualizar para as versões 5.5.16 ou 6.0RC2. Se isso não puder ser feito no mesmo ciclo, a melhor contenção é restringir por IP as origens autorizadas a autenticar técnicos e revisar cada grupo federado que aceite logins por OIDC. Também vale abrir a área de administração e exibir usuários autenticados por grupo para procurar nomes e emails estranhos, um passo mais concreto do que esperar alerta genérico de antivírus ou SIEM.
Nos logs, a Horizon3.ai recomenda examinar /opt/SimpleHelp/logs/server.log e os diretórios rotacionados com carimbo de data para achar registros de criação de técnico, emails desconhecidos e mudanças de configuração feitas por contas recém-criadas. Equipes que tratam o SimpleHelp como ativo crítico também deveriam cruzar esse pente-fino com regras de acesso administrativo e com políticas descritas em programas de gestão de vulnerabilidades conhecidas, já que a combinação de exposição pública e credenciais federadas reduz o tempo de resposta disponível.
Fontes
Este artigo foi baseado em divulgação técnica da pesquisa, no relatório jornalístico que resumiu impacto e versões atingidas e na documentação pública do fornecedor sobre as versões disponíveis para download. Esses três pontos permitem confirmar escopo, mecanismo e correção.