CISA издаде предупреждение за критична уязвимост за заобикаляне на автентификацията в SimpleHelp, която активно се експлоатира в реална среда, предизвиквайки безпокойство сред организациите, разчитащи на софтуера за отдалечена поддръжка.

Уязвимостта, проследявана като CVE-2026-48558, засяга внедрявания на SimpleHelp, конфигурирани с автентификация чрез OpenID Connect (OIDC).

Според бюлетина за сигурност, грешката произтича от неправилно валидиране на токени за идентичност по време на процеса на влизане. По-конкретно, приложението приема токени за автентификация, без да проверява техния криптографски подпис – слабост, класифицирана като CWE-347 (Неправилна проверка на криптографски подпис).

Този дефект позволява на отдалечен атакуващ без оторизация да състави и изпрати фалшив токен за идентичност, съдържащ произволни потребителски твърдения. В резултат на това атакуващите могат да получат пълен достъп до сесия на техник, без да се нуждаят от валидни идентификационни данни. При определени конфигурации проблемът може също така да позволи на атакуващите да заобиколят многофакторната автентификация (MFA), което значително увеличава риска от неоторизиран достъп.

Експертите по сигурност отбелязват, че въздействието на тази уязвимост е особено сериозно, тъй като сесиите на техници в SimpleHelp често предоставят разширени привилегии, включително отдалечен достъп до системата, трансфер на файлове и административен контрол. Поради това експлоатацията може да доведе до компрометиране на системата, странично движение (lateral movement) в мрежите и потенциално извличане на данни.

CISA добави CVE-2026-48558 към своя каталог с известни експлоатирани уязвимости (KEV) на 29 юни 2026 г., което показва активна експлоатация. Федералните агенции и организации се призовават да предприемат незабавни действия в съответствие с Директивата BOD 26-04 на CISA. Крайният срок за отстраняване е определен за 2 юли 2026 г., което подчертава спешността на пачването или прилагането на мерки за намаляване на риска.

CISA препоръчва прилагането на предоставените от разработчика корекции възможно най-скоро. Организациите трябва също така да извършат задълбочена оценка на активите си, свързани с интернет, които изпълняват SimpleHelp, и да проверят дали OIDC автентификацията е активирана.