В системе удалённого управления SimpleHelp активно эксплуатируется критическая уязвимость CVE-2026-48558 с оценкой 10,0 по CVSS. По данным исследователей, атака позволяет получить полноценную сессию Technician и использовать её для развертывания вредоносных компонентов TaskWeaver и Djinn Stealer.
Что произошло
Исследователи сообщили об активной эксплуатации уязвимости CVE-2026-48558 в SimpleHelp — платформе для удалённого мониторинга и управления. Проблеме присвоена максимальная оценка CVSS 10,0.
По опубликованным данным, ошибка связана с обходом аутентификации в потоке OpenID Connect (OIDC). Атакующий без учётной записи может подделать токен с произвольными данными об идентичности и получить авторизованную сессию Technician.
Почему это важно
Для администраторов это особенно чувствительная история, потому что Technician-сессия в SimpleHelp даёт доступ к функциям управления подключёнными узлами. В отчёте Horizon3.ai указано, что в зависимости от конфигурации такой пользователь может выполнять привилегированные действия, включая удалённое подключение к системам и запуск скриптов.
Для владельцев сайтов и VPS это означает рост риска компрометации не только одного сервера, но и всей цепочки управления инфраструктурой. Если RMM-система используется для обслуживания нескольких хостов, злоумышленник может получить доступ к тем системам, которые находятся под её управлением.
Как работает атака
По данным Blackpoint Cyber, успешная эксплуатация CVE-2026-48558 на публично доступном сервере позволила злоумышленнику получить авторизованную сессию Technician, после чего через скомпрометированную платформу были доставлены вредоносные компоненты.
Первый этап — TaskWeaver — исследователи описывают как сильно обфусцированный загрузчик на Node.js. Он запускается через node.exe, использует зашифрованный канал связи и может загружать дополнительные JavaScript-компоненты.
Второй этап — Djinn Stealer — предназначен для сбора данных с систем под управлением Windows, macOS и Linux.
Какие данные пытается собирать вредоносное ПО
Согласно исследованию, Djinn Stealer нацелен на широкий набор сведений:
- учётные данные, историю и закладки браузеров;
- параметры и токены для облачных платформ и сервисов разработки;
- данные GitHub CLI и конфигурации Git;
- SSH-ключи;
- данные Docker и Helm;
- параметры для S3 и MinIO;
- данные для пакетных менеджеров и экосистем разработки;
- сведения, связанные с AI-инструментами, включая Anthropic Claude, Google Gemini, OpenAI Codex, Cline, OpenCode и Kilo;
- криптовалютные кошельки и хранилища ключей.
На Linux-системах вредонос также пытается читать виртуальные файлы /proc//cmdline и /proc//environ, где могут находиться пароли, API-ключи, токены доступа и другие чувствительные значения.
Что это значит для администраторов
Эта атака показывает, что компрометация RMM-платформы может стать входом сразу в несколько сегментов инфраструктуры. Через один управляемый сервер злоумышленники могут получить доступ к рабочим станциям администраторов, облачным контурам, репозиториям кода и сервисам деплоя.
Для VPS-пользователей практический вывод простой: если в инфраструктуре используется удалённое администрирование через сторонние панели, такие компоненты нужно считать критически важными. Их нужно обновлять без задержек, ограничивать доступ к веб-интерфейсу и следить за журналами входа и аномальными сессиями.
Что делать прямо сейчас
Если в инфраструктуре используется SimpleHelp, стоит:
- проверить наличие обновлений и установить исправления как можно быстрее;
- ограничить доступ к панели управления по IP и через дополнительные средства защиты;
- пересмотреть использование OIDC и MFA в админских контурах;
- проверить журналы на подозрительные Technician-сессии и неизвестные учётные записи;
- отдельно проверить серверы, через которые выполняется удалённое администрирование рабочих станций и хостов.
Статус уязвимости
Активная эксплуатация CVE-2026-48558 побудила CISA добавить её в каталог Known Exploited Vulnerabilities (KEV). Для федеральных гражданских исполнительных органов США установлен срок установки исправлений — до 2 июля 2026 года.
Для всех остальных организаций это дополнительный сигнал не откладывать обновление: уязвимость уже используется в реальных атаках, а последствия могут затронуть не только один сервер, но и всю связанную с ним инфраструктуру.

