SimpleHelp CVE-2026-48558: 14.000 Server ohne Passwort angreifbar
16.06.2026 - 06:45:44 | boerse-global.de
Eine schwerwiegende Authentifizierungslücke in der Fernwartungsplattform SimpleHelp gefährdet tausende Server weltweit. Angreifer können ohne Passwort administrative Kontrolle erlangen.
Die Sicherheitslücke mit der Kennung CVE-2026-48558 betrifft die OpenID Connect (OIDC)-Authentifizierung der Remote-Monitoring-Lösung. Wie die Sicherheitsforscher von Horizon3.ai entdeckten, prüft die Software die Gültigkeit von Identitätsanbieter-Bestätigungen nicht ausreichend. Ein Angreifer kann gefälschte Tokens einreichen und sich so privilegierte „Technician"-Accounts erschaffen – ganz ohne gültige Anmeldedaten.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber Security jetzt sichern
Besonders brisant: Der Exploit umgeht auch die Multi-Faktor-Authentifizierung (MFA) und gewährt Zugriff auf alle verbundenen Endgeräte. Dort können Angreifer dann Skripte ausführen und Schadcode platzieren.
Tausende Server verwundbar
Scans über die Suchmaschine Shodan zeigen: Rund 14.000 SimpleHelp-Server sind aktuell öffentlich erreichbar. Bei etwa 7,2 Prozent dieser Instanzen ist OIDC aktiviert – sie sind damit potenziell angreifbar. Die Zahl der exponierten Server ist drastisch gestiegen: Anfang 2025 waren es noch rund 3.400, heute bereits 14.000.
Die Schwachstelle wurde am 21. Mai 2026 entdeckt und am Folgetag gemeldet. SimpleHelp reagierte mit einem Patch am 9. Juni 2026. Seit dem 12. Juni sind die technischen Details öffentlich – ein Wettlauf gegen die Zeit beginnt.
Sofort handeln: Patch oder Workaround
Betroffen sind alle Versionen 5.5.15 und älter sowie die 6.0 Pre-Release-Versionen. Administratoren sollten umgehend auf Version 5.5.16 oder 6.0RC2 aktualisieren.
Lässt sich der Patch nicht sofort einspielen, empfehlen die Forscher einen IP-basierten Allowlist für Technician-Logins. Auch die Überwachung der Server-Logs auf ungewöhnliche Account-Namen oder unbekannte E-Mail-Adressen kann helfen, Angriffe frühzeitig zu erkennen.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu neuen Cyberrisiken herunterladen
Trend: Authentifizierungslücken im Visier von Angreifern
Der SimpleHelp-Vorfall reiht sich ein in eine Serie kritischer Authentifizierungslücken. Erst kürzlich wurden Patches für eine Lücke im Cisco Catalyst SD-WAN Manager (CVE-2026-20262) und eine kritische Schwachstelle in Check Point Remote Access VPNs (CVE-2026-50751) veröffentlicht – letztere wird bereits von Ransomware-Gruppen aktiv ausgenutzt.
Auch Palo Alto Networks' GlobalProtect (CVE-2026-0257) steht im Fokus: Nur Tage nach der Offenlegung im Mai wurden erste Exploit-Versuche registriert. Die Botschaft ist klar: Fernwartungs- und Remote-Access-Infrastruktur rückt zunehmend ins Visier von Angreifern, die über diese Systeme in Unternehmensnetze eindringen wollen.
