Bypass total de autenticación en SimpleHelp aprovechado para robo de información

El problema

SimpleHelp, una popular solución de soporte y acceso remoto, contiene una vulnerabilidad crítica de bypass de autenticación en su flujo de autenticación OIDC. El identificador asignado es CVE-2026-48558 y ha recibido la máxima puntuación posible: CVSS 3.1 de 10.0 (CRITICAL) con vector AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

El fallo —clasificado como CWE-347 (verificación incorrecta de firma criptográfica)— reside en cómo SimpleHelp valida los tokens de identidad cuando se configura la autenticación OIDC. Los tokens enviados durante el login se aceptan sin verificar su firma criptográfica. En una configuración vulnerable, un atacante remoto y no autenticado puede enviar un token falsificado con reclamaciones de identidad arbitrarias para obtener una sesión de técnico completamente autenticada. En algunas configuraciones esto también permite saltarse la autenticación multifactor. No se requiere ninguna interacción del usuario.

Explotación activa en curso

Lo que eleva drásticamente la urgencia de este fallo no es solo su puntuación perfecta, sino que ya está siendo explotado en ataques reales. Los investigadores han observado cómo los atacantes aprovechan el bypass para tomar el control de instancias de SimpleHelp y, desde esa posición privilegiada de acceso remoto, desplegar dos familias de malware:

  • Djinn, un nuevo infostealer diseñado para exfiltrar credenciales, datos de navegadores y secretos del sistema.
  • TaskWeaver, un malware adicional empleado para mantener persistencia y movimiento lateral.

El acceso a una consola de soporte remoto comprometida es especialmente peligroso: confiere al atacante la misma capacidad operativa que un técnico legítimo sobre los endpoints gestionados, convirtiendo una única instancia vulnerable en un punto de pivote hacia toda la flota de equipos administrados.

Versiones afectadas y parche

Son vulnerables SimpleHelp 5.5.15 y todas las versiones anteriores, así como las versiones pre-release de la rama 6.0. SimpleHelp ha publicado una actualización de seguridad correctiva.

Recomendaciones inmediatas

  • Actualizar de inmediato a la versión parcheada de SimpleHelp.
  • Revisar la configuración OIDC y, si no es estrictamente necesaria, desactivarla temporalmente.
  • Asumir compromiso en cualquier instancia expuesta sin parchear: revisar sesiones de técnico anómalas, rotar credenciales y buscar indicadores de Djinn / TaskWeaver.
  • Restringir el acceso a la consola de SimpleHelp solo a redes de confianza mediante VPN o listas de control de acceso.
  • Consultar los IoCs publicados por Horizon3.ai para la caza retroactiva.

¿Estás cubierto en DefensOps?

El motor de correlación de DefensOps, disponible desde el plan Essential, puede detectar los patrones posteriores a la explotación de este tipo de compromisos: sesiones de acceso remoto desde ubicaciones o IPs inusuales, despliegue de binarios desconocidos en endpoints gestionados y la actividad de exfiltración característica de un infostealer.

Mapeamos esta actividad a técnicas MITRE ATT&CK como T1078 (Valid Accounts) por el abuso de la sesión de técnico falsificada, T1219 (Remote Access Software) por el uso de la propia herramienta de soporte como canal, y T1555 (Credentials from Password Stores) por el comportamiento del infostealer Djinn.

👉 Consulta los planes de DefensOps y solicita una demo para comprobar cómo detectamos el abuso de herramientas de acceso remoto y el robo de credenciales.


Fuentes: BleepingComputer · Horizon3.ai — IoCs y análisis · SimpleHelp — Boletín de seguridad