Een gevaarlijke kwetsbaarheid in SimpleHelp RMM-servers wordt actief misbruikt bij aanvallen en kan grote gevolgen voor allerlei organisaties hebben, zo waarschuwt het Amerikaanse cyberagentschap CISA. De impact van het beveiligingslek (CVE-2026-48558) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. SimpeHelp is een remote monitoring en management toepassing, gebruikt voor het beheer van systemen. Onder andere managed serviceproviders (MSP’s) gebruiken RMM-oplossingen om de systemen van hun klanten te beheren. De MSP heeft vanaf de RMM-server toegang tot de systemen van klanten.
Een kritieke kwetsbaarheid in SimpleHelp zorgt ervoor dat een ongeauthenticeerde aanvaller, dus zonder inloggegevens, een ‘Technician’ account op de RMM-server kan aanmaken. Het Technician-account heeft toegang tot beheerde endpoints, kan scripts en admin-acties uitvoeren en remote systemen beheren. De kwetsbaarheid doet zich voor wanneer er gebruik wordt gemaakt van OpenID Connect (OIDC) authenticatie. SimpleHelp blijkt de digitale signature van tokens die tijdens het inloggen worden verstrekt niet te controleren. Een aanvaller kan zo een vervalst token aanbieden dat het systeem accepteert en als Technician inloggen.
De kwetsbaarheid werd op 12 juni bekendgemaakt. SimpleHelp had een week eerder al een patch beschikbaar gesteld, maar nog geen informatie over het beveiligingslek verstrekt. Het probleem was gevonden door onderzoekers van cybersecuritybedrijf Horizon3.ai. Dat besloot vanwege de impact nog geen technische details te publiceren. Gisteren rapporteerde cybersecuritybedrijf Blackpoint dat de kwetsbaarheid bij aanvallen wordt ingezet, waarbij de aanvallers systemen infecteren die via de RMM-server worden beheerd.
Bij de aanvallen worden systemen met infostealer-malware geïnfecteerd waarmee allerlei inloggegevens worden gestolen, waardoor de aanvallers aanvullende systemen en omgevingen kunnen compromitteren, zoals cloudomgevingen. Volgens Horizon3.ai zijn 14.000 SimpleHelp-servers vanaf het internet toegankelijk, waarvan meer dan zeven procent kwetsbaar is. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is ook bekend met actief misbruik, zo laat het weten, maar geeft geen details over de aanvallen.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Een gevaarlijke kwetsbaarheid in SimpleHelp RMM-servers wordt actief misbruikt bij aanvallen en kan grote gevolgen voor allerlei organisaties hebben, zo waarschuwt het Amerikaanse cyberagentschap CISA. De impact van het beveiligingslek (CVE-2026-48558) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. SimpeHelp is een remote monitoring en management toepassing, gebruikt voor het beheer van systemen. Onder andere managed serviceproviders (MSP’s) gebruiken RMM-oplossingen om de systemen van hun klanten te beheren. De MSP heeft vanaf de RMM-server toegang tot de systemen van klanten.
Een kritieke kwetsbaarheid in SimpleHelp zorgt ervoor dat een ongeauthenticeerde aanvaller, dus zonder inloggegevens, een ‘Technician’ account op de RMM-server kan aanmaken. Het Technician-account heeft toegang tot beheerde endpoints, kan scripts en admin-acties uitvoeren en remote systemen beheren. De kwetsbaarheid doet zich voor wanneer er gebruik wordt gemaakt van OpenID Connect (OIDC) authenticatie. SimpleHelp blijkt de digitale signature van tokens die tijdens het inloggen worden verstrekt niet te controleren. Een aanvaller kan zo een vervalst token aanbieden dat het systeem accepteert en als Technician inloggen.
De kwetsbaarheid werd op 12 juni bekendgemaakt. SimpleHelp had een week eerder al een patch beschikbaar gesteld, maar nog geen informatie over het beveiligingslek verstrekt. Het probleem was gevonden door onderzoekers van cybersecuritybedrijf Horizon3.ai. Dat besloot vanwege de impact nog geen technische details te publiceren. Gisteren rapporteerde cybersecuritybedrijf Blackpoint dat de kwetsbaarheid bij aanvallen wordt ingezet, waarbij de aanvallers systemen infecteren die via de RMM-server worden beheerd.
Bij de aanvallen worden systemen met infostealer-malware geïnfecteerd waarmee allerlei inloggegevens worden gestolen, waardoor de aanvallers aanvullende systemen en omgevingen kunnen compromitteren, zoals cloudomgevingen. Volgens Horizon3.ai zijn 14.000 SimpleHelp-servers vanaf het internet toegankelijk, waarvan meer dan zeven procent kwetsbaar is. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is ook bekend met actief misbruik, zo laat het weten, maar geeft geen details over de aanvallen.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Deel dit bericht: