Thought Leadership
Eine Schwachstelle in der Fernwartungssoftware SimpleHelp ermöglicht es Angreifern, unbefugt privilegierte Konten für Techniker anzulegen.
In der Fernwartungssoftware SimpleHelp wurde eine kritische Sicherheitslücke entdeckt. Die unter der Kennung CVE-2026-48558 geführte Schwachstelle ermöglicht es nicht authentifizierten Angreifern, administrative Techniker-Konten auf betroffenen Servern zu erstellen. Das Problem betrifft Installationen, die das Authentifizierungsprotokoll OpenID Connect (OIDC) nutzen. Ursache für den Fehler ist die unzureichende Validierung von Identitätsbestätigungen, die von einem OIDC-Identitätsanbieter übermittelt werden. Bei aktivierter OIDC-Authentifizierung können sich Angreifer als neue Techniker-Nutzer registrieren und anmelden, ohne den Prozess der Multi-Faktor-Authentifizierung (MFA) durchlaufen zu müssen.
„Dieser Techniker kann standardmäßig privilegierte Verwaltungsaktivitäten durchführen, wie beispielsweise den Fernzugriff auf verwaltete Endpunkte, das Ausführen von Skripten und mehr.“
Zach Hanley, Sicherheitsforscher beim IT-Sicherheitsunternehmen Horizon3.ai
Betroffene Softwareversionen von SimpleHelp und Ausmaß im Internet
Die Schwachstelle betrifft die SimpleHelp-Versionen 5.5.15 und älter sowie die Vorabversionen von Version 6.0. Der Hersteller hat das Problem behoben und am 9. Juni die korrigierten Versionen 5.5.16 und 6.0RC2 veröffentlicht. Das Risiko betrifft nicht jede SimpleHelp-Installation im Internet, sondern eine spezifische Gruppe von Systemen, die auf das generische OIDC-Protokoll oder Azure AD OIDC setzen, welche besonders in großen Unternehmen verbreitet sind. Damit ein Angriff erfolgreich ist, müssen drei Voraussetzungen erfüllt sein: Die OIDC-Authentifizierung muss aktiv sein, mindestens eine Technikergruppe muss mit dem OIDC-Anbieter verknüpft sein und für diese Gruppe muss die Option für gruppenauthentifizierte Anmeldungen aktiviert sein.
Daten der Suchmaschine Shodan zeigen, dass weltweit etwa 14.000 SimpleHelp-Server über das öffentliche Internet erreichbar sind. Die Analyse einer Stichprobe ergab, dass rund 7,2 Prozent dieser Server für die Nutzung der OIDC-Authentifizierung konfiguriert sind, wobei die erforderliche Gruppeneinstellung in vielen Fällen ebenfalls aktiv war.
Gegenmaßnahmen und Anzeichen für Kompromittierung
Bislang liegen weder SimpleHelp noch Horizon3.ai Berichte über eine aktive Ausnutzung der Schwachstelle in der Praxis vor. Betreibern wird dringend empfohlen, die verfügbaren Sicherheitsupdates zeitnah zu installieren. Falls ein direktes Update nicht möglich ist, kann der Zugriff auf die Anmeldeschnittstellen für Techniker über IP-basierte Whitelists eingeschränkt werden, um unbefugte Zugriffe zu blockieren.
Zur Erkennung möglicher Kompromittierungen sollten Administratoren die Systeme auf neu angelegte Techniker-Konten mit unbekannten oder verdächtigen Namen und E-Mail-Adressen überprüfen. Relevante Informationen zu Registrierungen und Konfigurationsänderungen durch unbefugte Konten lassen sich in den Server-Protokollen unter dem Pfad /opt/SimpleHelp/logs/server.log nachvollziehen.
(red)
