В SimpleHelp обнаружили критическую уязвимость: злоумышленники используют её для установки TaskWeaver и Djinn Stealer

В SimpleHelp обнаружили критическую уязвимость: злоумышленники используют её для установки TaskWeaver и Djinn Stealer

В системе удалённого управления SimpleHelp активно эксплуатируется критическая уязвимость CVE-2026-48558 с оценкой 10,0 по CVSS. По данным исследователей, атака позволяет получить полноценную сессию Technician и использовать её для развертывания вредоносных компонентов TaskWeaver и Djinn Stealer.

Что произошло

Исследователи сообщили об активной эксплуатации уязвимости CVE-2026-48558 в SimpleHelp — платформе для удалённого мониторинга и управления. Проблеме присвоена максимальная оценка CVSS 10,0.

По опубликованным данным, ошибка связана с обходом аутентификации в потоке OpenID Connect (OIDC). Атакующий без учётной записи может подделать токен с произвольными данными об идентичности и получить авторизованную сессию Technician.

Почему это важно

Для администраторов это особенно чувствительная история, потому что Technician-сессия в SimpleHelp даёт доступ к функциям управления подключёнными узлами. В отчёте Horizon3.ai указано, что в зависимости от конфигурации такой пользователь может выполнять привилегированные действия, включая удалённое подключение к системам и запуск скриптов.

Для владельцев сайтов и VPS это означает рост риска компрометации не только одного сервера, но и всей цепочки управления инфраструктурой. Если RMM-система используется для обслуживания нескольких хостов, злоумышленник может получить доступ к тем системам, которые находятся под её управлением.

Как работает атака

По данным Blackpoint Cyber, успешная эксплуатация CVE-2026-48558 на публично доступном сервере позволила злоумышленнику получить авторизованную сессию Technician, после чего через скомпрометированную платформу были доставлены вредоносные компоненты.

Первый этап — TaskWeaver — исследователи описывают как сильно обфусцированный загрузчик на Node.js. Он запускается через node.exe, использует зашифрованный канал связи и может загружать дополнительные JavaScript-компоненты.

Второй этап — Djinn Stealer — предназначен для сбора данных с систем под управлением Windows, macOS и Linux.

Какие данные пытается собирать вредоносное ПО

Согласно исследованию, Djinn Stealer нацелен на широкий набор сведений:

  • учётные данные, историю и закладки браузеров;
  • параметры и токены для облачных платформ и сервисов разработки;
  • данные GitHub CLI и конфигурации Git;
  • SSH-ключи;
  • данные Docker и Helm;
  • параметры для S3 и MinIO;
  • данные для пакетных менеджеров и экосистем разработки;
  • сведения, связанные с AI-инструментами, включая Anthropic Claude, Google Gemini, OpenAI Codex, Cline, OpenCode и Kilo;
  • криптовалютные кошельки и хранилища ключей.

На Linux-системах вредонос также пытается читать виртуальные файлы /proc//cmdline и /proc//environ, где могут находиться пароли, API-ключи, токены доступа и другие чувствительные значения.

Что это значит для администраторов

Эта атака показывает, что компрометация RMM-платформы может стать входом сразу в несколько сегментов инфраструктуры. Через один управляемый сервер злоумышленники могут получить доступ к рабочим станциям администраторов, облачным контурам, репозиториям кода и сервисам деплоя.

Для VPS-пользователей практический вывод простой: если в инфраструктуре используется удалённое администрирование через сторонние панели, такие компоненты нужно считать критически важными. Их нужно обновлять без задержек, ограничивать доступ к веб-интерфейсу и следить за журналами входа и аномальными сессиями.

Что делать прямо сейчас

Если в инфраструктуре используется SimpleHelp, стоит:

  • проверить наличие обновлений и установить исправления как можно быстрее;
  • ограничить доступ к панели управления по IP и через дополнительные средства защиты;
  • пересмотреть использование OIDC и MFA в админских контурах;
  • проверить журналы на подозрительные Technician-сессии и неизвестные учётные записи;
  • отдельно проверить серверы, через которые выполняется удалённое администрирование рабочих станций и хостов.

Статус уязвимости

Активная эксплуатация CVE-2026-48558 побудила CISA добавить её в каталог Known Exploited Vulnerabilities (KEV). Для федеральных гражданских исполнительных органов США установлен срок установки исправлений — до 2 июля 2026 года.

Для всех остальных организаций это дополнительный сигнал не откладывать обновление: уязвимость уже используется в реальных атаках, а последствия могут затронуть не только один сервер, но и всю связанную с ним инфраструктуру.

Loading spinner
0 Комментарий
Старые
Новые Популярные

Нужен VPS сервер?

Арендуйте мощный VPS сервер для ваших проектов! Быстрая настройка, высокая производительность и надежная поддержка 24/7. Начните прямо сейчас!

Что будем искать? Например,VPS-сервер

Мы в социальных сетях