
Защищены ли ваши серверы SimpleHelp? Критическая уязвимость почти в 14 тысячах доступных из Интернета серверов SimpleHelp позволяет обходить механизм аутентификации
Важное предупреждение для специалистов и организаций в сфере кибербезопасности!
В платформе SimpleHelp, широко используемой в качестве системы удалённого мониторинга и управления (Remote Monitoring and Management, RMM), обнаружена критическая уязвимость. Уязвимость, зарегистрированная под идентификатором CVE-2026-48558, позволяет удалённо обходить механизм аутентификации, создавая потенциальную угрозу для тысяч серверов, доступных из сети Интернет.
По данным специалистов, в настоящее время в Интернете доступны около 14 000 серверов SimpleHelp, и часть из них может быть подвержена данной уязвимости.
Суть уязвимости
Уязвимость была обнаружена в рамках исследовательской программы «Sua Sponte», основанной на технологиях искусственного интеллекта и разработанной компанией Horizon3.ai.
В ходе исследования было установлено, что механизм аутентификации OpenID Connect (OIDC) в платформе SimpleHelp некорректно проверяет данные, получаемые от поставщика удостоверений (Identity Provider).
Проблема проявляется в системах, где включена аутентификация через OIDC и используется интеграция с корпоративными службами управления идентификацией, включая Microsoft Azure Active Directory.
Используя данную уязвимость, злоумышленник может создать новую учётную запись типа Technician и получить доступ к системе без использования действительных учётных данных.
Особую опасность представляет тот факт, что уязвимость может эксплуатироваться даже в средах, где используется многофакторная аутентификация (MFA). На этапе первоначального входа атакующий способен зарегистрировать собственный метод аутентификации, фактически обходя механизм MFA.
Возможные последствия
Платформа SimpleHelp предназначена для удалённого управления серверами, рабочими станциями и другими устройствами корпоративной сети.
В случае успешной эксплуатации уязвимости злоумышленник может получить возможность:
- удалённо подключаться к управляемым устройствам;
- выполнять команды и сценарии (скрипты);
- изменять конфигурацию системы;
- получать доступ к пользовательским данным;
- осуществлять горизонтальное перемещение (lateral movement) внутри сети;
- устанавливать дополнительное вредоносное программное обеспечение;
- получать контроль над критически важными информационными системами организации.
Поскольку платформы класса RMM обладают расширенными административными привилегиями, подобные уязвимости нередко становятся причиной масштабных кибератак и компрометации корпоративных данных.
Масштаб угрозы
По результатам исследований, в начале 2025 года количество серверов SimpleHelp, доступных из Интернета, составляло около 3 400. К июню 2026 года этот показатель вырос почти до 14 000 серверов.
Дополнительный анализ показал, что примерно 7,2 % этих серверов уязвимы для данной атаки вследствие неправильной конфигурации или небезопасных настроек.
Это свидетельствует о высокой вероятности роста числа попыток эксплуатации данной уязвимости в ближайшее время.
Признаки компрометации
Системным администраторам рекомендуется обратить особое внимание на следующие признаки:
- появление неизвестных или неожиданных учётных записей Technician;
- создание пользователей с незнакомыми адресами электронной почты;
- несанкционированные изменения конфигурации системы;
- события аутентификации, не инициированные администраторами;
- выполнение неизвестных сценариев или удалённых команд;
- подозрительные попытки регистрации и входа в систему, зафиксированные в журналах событий.
Особое внимание рекомендуется уделить анализу журналов, хранящихся в каталоге:
/opt/SimpleHelp/logs/
Рекомендации по защите
Для снижения риска эксплуатации уязвимости организациям рекомендуется:
- незамедлительно установить последние обновления безопасности, выпущенные разработчиками SimpleHelp;
- пересмотреть конфигурацию аутентификации OIDC и предоставить доступ только необходимым группам пользователей;
- провести полную инвентаризацию существующих учётных записей Technician;
- применять принцип минимально необходимых привилегий для администраторов и технического персонала;
- регулярно контролировать журналы событий и передавать их в централизованные SIEM-системы;
- ограничить доступ к интерфейсам удалённого управления по IP-адресам;
- использовать VPN или решения класса Zero Trust Network Access (ZTNA);
- проверить корректность работы многофакторной аутентификации (MFA) и пересмотреть политики аутентификации;
- по возможности минимизировать количество RMM-сервисов, доступных непосредственно из Интернета.
Уязвимость CVE-2026-48558 ещё раз демонстрирует, насколько важна безопасность систем удалённого управления. Поскольку RMM-платформы являются центральным элементом управления корпоративной инфраструктурой, любая критическая уязвимость в таких системах представляет серьёзную угрозу для безопасности всей сети.
Организациям рекомендуется не откладывать установку обновлений безопасности, повторно проверить конфигурацию своих систем и обеспечить постоянный мониторинг подозрительной активности. В противном случае единственная ошибка в механизме аутентификации может привести к полной компрометации корпоративной инфраструктуры.



