SimpleHelp-Lücke (CVE-2026-48558): CISA warnt vor aktiven Angriffen
30.06.2026 - 13:03:51 | boerse-global.de
Eine schwerwiegende Sicherheitslücke in der Fernwartungssoftware SimpleHelp wird derzeit von Angreifern aktiv missbraucht. Die US-Behörde CISA hat den Fehler am 29. Juni in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen – ein klares Zeichen für reale Angriffe.
Angriffskette mit mehreren Stufen entdeckt
Sicherheitsforscher von Blackpoint APG beobachteten, wie Angreifer eine Authentifizierungslücke im OpenID-Connect-(OIDC)-Ablauf der Software ausnutzen. Der als CVE-2026-48558 gelistete Fehler ermöglicht es nicht authentifizierten Angreifern, OIDC-Tokens zu fälschen und sich Techniker-Zugriff auf die SimpleHelp-Plattform zu verschaffen.
Ist dieser Zugang erst einmal hergestellt, können die Angreifer Befehle auf verwalteten Systemen ausführen und eine mehrstufige Schadsoftware nachladen.
Die Angriffskette beginnt mit einem Node.js-basierten Loader namens TaskWeaver. In beobachteten Fällen wurde dieser Loader als verschleierte JavaScript-Datei von einer Cloudflare-Domain ausgeliefert. TaskWeaver ermöglicht anschließend die Installation von Djinn Stealer – einer plattformübergreifenden Spionagesoftware, die Windows-, macOS- und Linux-Systeme befällt.
Zum Schutz der eigenen Aktivitäten setzt die Malware auf eine hybride Verschlüsselung mit AES-256-GCM und RSA-2048 für den Datendiebstahl.
Fokus auf KI-Entwicklungstools und Cloud-Zugangsdaten
Angriffe auf KI-Schnittstellen und Entwicklungstools zeigen, wie wichtig eine fundierte Risikobewertung moderner Technologien ist. Dieser kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung hilft Unternehmen, ihre Systeme rechtssicher und konform mit den neuesten Sicherheitsstandards zu dokumentieren. Fristen und Pflichten der KI-Verordnung kompakt erklärt
Djinn Stealer hat sich auf moderne Entwicklungsumgebungen und hochwertige technische Zugangsdaten spezialisiert. Die Forscher fanden heraus, dass die Malware gezielt Daten aus verschiedenen KI-Programmierassistenten und Entwicklungstools abgreift – darunter Claude, Gemini, Codex sowie Cline und OpenCode.
Neben KI-Werkzeugen ist der Datendieb darauf programmiert, folgende Informationen zu stehlen:
- Cloud-Dienst-Zugangsdaten für AWS, Azure und Google Cloud Platform
- Kryptowährungs-Wallet-Daten
- SSH-Schlüssel und Paketregistrierungs-Zugänge
- Sensible Daten aus verschiedenen Entwicklerwerkzeugen
Die gestohlenen Daten werden in der Regel als verschlüsseltes TAR-Archiv verpackt, bevor sie an die Infrastruktur der Angreifer gesendet werden.
Kritische Bewertung und Schutzmaßnahmen
In Zeiten rasant ansteigender Cyberbedrohungen müssen Unternehmer proaktiv handeln, um ihre digitale Infrastruktur zu schützen. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und technischen Schutzmaßnahmen für Firmen jetzt entscheidend sind, um Sicherheitslücken effektiv zu schließen. Gratis-E-Book zur Cyber-Security jetzt sichern
Die Schwachstelle trägt einen CVSS-Score von 10,0 – die höchstmögliche Schweregrad-Einstufung. Hauptgrund ist die fehlende OIDC-Signaturprüfung. Sicherheitsscans zufolge sind derzeit etwa 1.000 verwundbare SimpleHelp-Server direkt mit dem Internet verbunden.
Der Anstieg solcher Angriffe fällt mit einem besorgniserregenden Trend in der Bedrohungslandschaft zusammen. Branchenberichte aus diesem Jahr zeigen, dass der Missbrauch von Fernwartungssoftware (RMM) im Jahresvergleich um 277 Prozent zugenommen hat.
Die Sicherheitslücke betrifft SimpleHelp-Versionen 5.5.15 und älter sowie Vorabversionen von Version 6.0. SimpleHelp hat bereits Patches veröffentlicht. Unternehmen, die die Software einsetzen, sollten umgehend auf Version 5.5.16 oder 6.0 RC2 aktualisieren. Als zusätzliche Schutzmaßnahmen empfehlen Experten, OIDC zu deaktivieren, falls es nicht benötigt wird, und den Netzwerkzugriff auf die Verwaltungsoberfläche einzuschränken.
