Защищены ли ваши серверы SimpleHelp? Критическая уязвимость почти в 14 тысячах доступных из Интернета серверов SimpleHelp позволяет обходить механизм аутентификации

Важное предупреждение для специалистов и организаций в сфере кибербезопасности!

В платформе SimpleHelp, широко используемой в качестве системы удалённого мониторинга и управления (Remote Monitoring and Management, RMM), обнаружена критическая уязвимость. Уязвимость, зарегистрированная под идентификатором CVE-2026-48558, позволяет удалённо обходить механизм аутентификации, создавая потенциальную угрозу для тысяч серверов, доступных из сети Интернет.

По данным специалистов, в настоящее время в Интернете доступны около 14 000 серверов SimpleHelp, и часть из них может быть подвержена данной уязвимости.

Суть уязвимости

Уязвимость была обнаружена в рамках исследовательской программы «Sua Sponte», основанной на технологиях искусственного интеллекта и разработанной компанией Horizon3.ai.

В ходе исследования было установлено, что механизм аутентификации OpenID Connect (OIDC) в платформе SimpleHelp некорректно проверяет данные, получаемые от поставщика удостоверений (Identity Provider).

Проблема проявляется в системах, где включена аутентификация через OIDC и используется интеграция с корпоративными службами управления идентификацией, включая Microsoft Azure Active Directory.

Используя данную уязвимость, злоумышленник может создать новую учётную запись типа Technician и получить доступ к системе без использования действительных учётных данных.

Особую опасность представляет тот факт, что уязвимость может эксплуатироваться даже в средах, где используется многофакторная аутентификация (MFA). На этапе первоначального входа атакующий способен зарегистрировать собственный метод аутентификации, фактически обходя механизм MFA.

Возможные последствия

Платформа SimpleHelp предназначена для удалённого управления серверами, рабочими станциями и другими устройствами корпоративной сети.

В случае успешной эксплуатации уязвимости злоумышленник может получить возможность:

  • удалённо подключаться к управляемым устройствам;
  • выполнять команды и сценарии (скрипты);
  • изменять конфигурацию системы;
  • получать доступ к пользовательским данным;
  • осуществлять горизонтальное перемещение (lateral movement) внутри сети;
  • устанавливать дополнительное вредоносное программное обеспечение;
  • получать контроль над критически важными информационными системами организации.

Поскольку платформы класса RMM обладают расширенными административными привилегиями, подобные уязвимости нередко становятся причиной масштабных кибератак и компрометации корпоративных данных.

Масштаб угрозы

По результатам исследований, в начале 2025 года количество серверов SimpleHelp, доступных из Интернета, составляло около 3 400. К июню 2026 года этот показатель вырос почти до 14 000 серверов.

Дополнительный анализ показал, что примерно 7,2 % этих серверов уязвимы для данной атаки вследствие неправильной конфигурации или небезопасных настроек.

Это свидетельствует о высокой вероятности роста числа попыток эксплуатации данной уязвимости в ближайшее время.

Признаки компрометации

Системным администраторам рекомендуется обратить особое внимание на следующие признаки:

  • появление неизвестных или неожиданных учётных записей Technician;
  • создание пользователей с незнакомыми адресами электронной почты;
  • несанкционированные изменения конфигурации системы;
  • события аутентификации, не инициированные администраторами;
  • выполнение неизвестных сценариев или удалённых команд;
  • подозрительные попытки регистрации и входа в систему, зафиксированные в журналах событий.

Особое внимание рекомендуется уделить анализу журналов, хранящихся в каталоге:

/opt/SimpleHelp/logs/

Рекомендации по защите

Для снижения риска эксплуатации уязвимости организациям рекомендуется:

  • незамедлительно установить последние обновления безопасности, выпущенные разработчиками SimpleHelp;
  • пересмотреть конфигурацию аутентификации OIDC и предоставить доступ только необходимым группам пользователей;
  • провести полную инвентаризацию существующих учётных записей Technician;
  • применять принцип минимально необходимых привилегий для администраторов и технического персонала;
  • регулярно контролировать журналы событий и передавать их в централизованные SIEM-системы;
  • ограничить доступ к интерфейсам удалённого управления по IP-адресам;
  • использовать VPN или решения класса Zero Trust Network Access (ZTNA);
  • проверить корректность работы многофакторной аутентификации (MFA) и пересмотреть политики аутентификации;
  • по возможности минимизировать количество RMM-сервисов, доступных непосредственно из Интернета.

Уязвимость CVE-2026-48558 ещё раз демонстрирует, насколько важна безопасность систем удалённого управления. Поскольку RMM-платформы являются центральным элементом управления корпоративной инфраструктурой, любая критическая уязвимость в таких системах представляет серьёзную угрозу для безопасности всей сети.

Организациям рекомендуется не откладывать установку обновлений безопасности, повторно проверить конфигурацию своих систем и обеспечить постоянный мониторинг подозрительной активности. В противном случае единственная ошибка в механизме аутентификации может привести к полной компрометации корпоративной инфраструктуры.