SimpleHelp-Lücke: Höchste Risikostufe CVE-2026-48558 aktiv ausgenutzt
30.06.2026 - 23:28:25 | boerse-global.de
Die US-Behörde für Cybersicherheit (CISA) hat den Fehler mit der höchsten Risikostufe eingestuft und zum sofortigen Handeln aufgefordert.
Authentifizierungs-Bypass mit maximalem Risiko
Die Schwachstelle mit der Kennung CVE-2026-48558 erreicht mit einem CVSS-Score von 10,0 die höchstmögliche Bedrohungsstufe. Der Fehler steckt in der OpenID-Connect-Implementierung von SimpleHelp und ermöglicht Angreifern, sich ohne gültige Anmeldedaten Techniker-Zugriff auf verwaltete Systeme zu verschaffen.
Sicherheitsforscher von Blackpoint Cyber entdeckten die Angriffskette: Über die SimpleHelp-Lücke gelangen Kriminelle zunächst in die Systeme, um dann eine Schadsoftware namens TaskWeaver zu installieren. Dieser auf Node.js basierende Loader tarnt sich als harmlose Datei „jquery.js" und dient als Einfallstor für den eigentlichen Datendieb.
Djinn Stealer: Plattformübergreifender Datendiebstahl
Der finale Schädling hört auf den Namen Djinn Stealer und ist bemerkenswert flexibel: Er läuft auf Windows, macOS und Linux gleichermaßen. Seine Ziele sind hochsensibel:
- Cloud-Dienste und Paketregistrierungen: Zugangsdaten für Entwickler-Plattformen
- SSH-Schlüssel und Browserdaten: Komplette digitale Identitäten
- KI-Entwicklungstools: Authentifizierungstoken für Assistenten wie Claude, Gemini und Codex
- Kryptowährungs-Wallets: Digitale Geldbörsen auf kompromittierten Rechnern
Die SimpleHelp-Lücke CVE-2026-48558 (CVSS 10.0) wird aktiv ausgenutzt – Angreifer verschaffen sich Techniker-Zugriff und installieren Djinn Stealer. Rund 1.000 Server sind noch verwundbar. Die kostenlose Notfall-Checkliste zeigt, wie Sie Ihre Systeme sofort patchen und schützen. Kostenlose Notfall-Checkliste anfordern
Besonders brisant: Die Angreifer haben es gezielt auf Entwickler-Umgebungen abgesehen. Wer mit KI-Coding-Assistenten arbeitet, ist ein bevorzugtes Ziel.
Rund 1.000 Server weiterhin verwundbar
Sicherheitsexperten schätzen, dass aktuell noch etwa 1.000 SimpleHelp-Server direkt aus dem Internet erreichbar und damit potenziell angreifbar sind. Die CISA hat die Schwachstelle am 29. Juni 2026 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen.
Für Bundesbehörden in den USA gilt eine Frist bis zum 2. Juli 2026, um die notwendigen Updates einzuspielen. Der Hersteller SimpleHelp hat bereits Patches veröffentlicht: Systeme sollten auf Version 5.5.16 oder Version 6.0 RC2 aktualisiert werden.
Betrifft Ihr Unternehmen SimpleHelp? Dann handeln Sie jetzt: Die kritische Lücke wird aktiv ausgenutzt, der Djinn Stealer zielt auf Entwickler-Zugangsdaten. Mit der kostenlosen Checkliste patchen Sie in 5 Schritten – inklusive Maßnahmen gegen TaskWeaver und Djinn Stealer. Sofort-Checkliste per E-Mail sichern
Handlungsdruck für Unternehmen
Die Kombination aus maximaler Kritikalität, aktiver Ausnutzung und dem Fokus auf Entwickler-Zugangsdaten macht die Lage ernst. IT-Verantwortliche sollten die Fernwartungssoftware umgehend aktualisieren – jede Verzögerung riskiert den Verlust sensibler Unternehmensdaten.
