SimpleHelp-Lücke CVE-2026-48558: CISA warnt vor Höchst-Risiko
02.07.2026 - 14:31:32 | boerse-global.de
Die US-Sicherheitsbehörde CISA schlägt Alarm: Eine Schwachstelle in der Fernwartungssoftware SimpleHelp wird bereits aktiv ausgenutzt. Heute läuft die Frist für US-Behörden zur Absicherung ab – doch auch Unternehmen sind betroffen.
Angreifer können durch die Lücke weitreichende Zugriffsrechte auf ganze IT-Infrastrukturen erlangen. Experten raten zu sofortigen Updates.
Authentifizierung umgangen – maximales Risiko
Die Schwachstelle CVE-2026-48558 erreicht mit 10,0 den höchstmöglichen Schweregrad auf der CVSS-Skala. Betroffen sind SimpleHelp bis Version 5.5.15 sowie Vorabversionen der Generation 6.0.
Der Fehler steckt in der OpenID-Connect-Authentifizierung (OIDC). Die Signaturen der OIDC-Tokens werden nicht korrekt geprüft – Angreifer können sie daher fälschen.
Das hat fatale Folgen: Unbefugte übernehmen aktive Techniker-Sitzungen, ohne gültige Zugangsdaten zu besitzen. Selbst Multifaktor-Authentifizierungen (MFA) lassen sich umgehen. Da Techniker-Konten oft umfassende Privilegien haben, erhalten Angreifer Zugriff auf alle verwalteten Endpunkte.
Djinn Stealer und AsyncRAT im Anflug
Sicherheitsunternehmen wie Blackpoint dokumentieren bereits konkrete Angriffe. Die Akteure setzen eine ganze Kette von Schadprogrammen ein – darunter den Node.js-basierten Loader TaskWeaver.
Die CISA-Deadline für SimpleHelp-Patches läuft – doch viele Unternehmen sind noch ungeschützt. Angreifer nutzen die Lücke CVE-2026-48558 bereits aktiv aus, um Djinn Stealer und AsyncRAT einzuschleusen. Mit dieser Checkliste schließen Sie die Sicherheitslücke in 5 Minuten und erkennen Kompromittierungen. Jetzt kostenlosen Notfall-Report anfordern
Dieser dient als Einfallstor für den Djinn Stealer, eine plattformübergreifende Malware für Windows, macOS und Linux. Sie extrahiert sensible Zugangsdaten direkt aus infizierten Systemen.
Im Visier stehen:
- Anmeldedaten für Cloud-Provider wie AWS, Azure und Google Cloud Platform
- SSH-Schlüssel für den sicheren Serverzugriff
- Token für KI-Entwicklungstools und Software-Paketregister
- Zugangsdaten für Kryptowährungs-Wallets
In weiteren Kampagnen verbreiten Angreifer zudem den Fernzugriff-Trojaner AsyncRAT. Er ermöglicht eine dauerhafte Kontrolle über kompromittierte Rechner.
Schon 14.000 Server exponiert
Entdeckt wurde die Schwachstelle von Zach Hanley (Horizon3.ai), der bei der Analyse auf KI-Unterstützung setzte. Die Zahl öffentlich erreichbarer SimpleHelp-Instanzen ist seit Januar 2025 von rund 3.400 auf fast 14.000 gestiegen. Schätzungsweise 7,2 Prozent sind mit der anfälligen OIDC-Funktion konfiguriert.
Schon 14.000 SimpleHelp-Server sind öffentlich erreichbar – 7,2 Prozent mit der anfälligen OIDC-Funktion. Angreifer fälschen OIDC-Tokens und übernehmen Techniker-Sitzungen, selbst mit MFA. Dieser Report zeigt, wie Sie Ihre Infrastruktur mit einem 5-Minuten-Update absichern und Logs auf Einbrüche prüfen. SimpleHelp-Notfall-Report jetzt sichern
Die CISA nahm die Lücke bereits am 29. Juni in ihren Katalog bekanntermaßen ausgenutzter Schwachstellen (KEV) auf. Gepatchte Versionen stehen seit Ende Mai beziehungsweise Anfang Juni bereit: 5.5.16 und 6.0 RC2.
Administratoren sollten ihre Installationen umgehend prüfen und das Update einspielen. Wird die OIDC-Authentifizierung nicht zwingend benötigt, sollte sie deaktiviert werden. Zusätzlich empfiehlt sich die Überprüfung von Systemprotokollen auf ungewöhnliche Techniker-Sitzungen oder unautorisierte OIDC-Tokens – um bereits erfolgte Kompromittierungen auszuschließen.
