Vulnerabilidad crítica en SimpleHelp
Resumen rápido
Una vulnerabilidad crítica en SimpleHelp está siendo explotada para entregar malware. Los atacantes buscan recopilar credenciales, claves SSH y carteras de criptomonedas.
SimpleHelp: un fallo crítico (CVSS 10) permite tomar el control y desplegar malware
Una vulnerabilidad de gravedad máxima en el software de soporte remoto SimpleHelp está siendo explotada activamente para saltarse la autenticación, ejecutar código en remoto y entregar malware. La agencia estadounidense CISA la ha añadido a su catálogo de vulnerabilidades explotadas conocidas (KEV), obligando a los organismos federales a parchear en un plazo muy corto.
El problema
El fallo, identificado como CVE-2026-48558, recibe una puntuación CVSS 3.1 de 10.0 (la máxima posible). Se trata de un bypass de autenticación (CWE-287): el servidor de SimpleHelp no verifica correctamente la firma del token OIDC presentado por el cliente, de modo que un atacante puede forjar un token y autenticarse como cualquier usuario, incluido el administrador, sin credenciales válidas.
Una vez dentro, el acceso administrativo del panel de SimpleHelp se convierte en ejecución remota de código (RCE) sobre los endpoints gestionados: SimpleHelp está diseñado precisamente para lanzar comandos y sesiones sobre las máquinas de soporte.
Están afectadas las versiones anteriores a la 5.5.16 y la rama 6.0 RC2.
Cadena de ataque observada
Los investigadores de Blackpoint Cyber, que descubrieron los ataques, documentaron el despliegue de dos piezas de malware tras la explotación:
- TaskWeaver: un loader escrito en Node.js que establece persistencia y descarga cargas adicionales.
- Djinn Stealer: un infostealer que roba credenciales, tokens de sesión y datos del navegador.
Es la evolución típica de este tipo de intrusiones: acceso inicial por la vulnerabilidad → loader → robo de credenciales → movimiento lateral.
Recomendaciones inmediatas
- Actualiza SimpleHelp a la versión 5.5.16 o superior de forma prioritaria; la rama 6.0 RC2 debe migrarse a una versión estable parcheada.
- No expongas el panel de administración de SimpleHelp directamente a Internet; colócalo tras VPN o lista de IP permitidas.
- Revisa los registros en busca de autenticaciones anómalas, sesiones administrativas inesperadas y procesos hijos de Node.js.
- Rota credenciales de cualquier cuenta que pudiera haber sido comprometida y busca indicadores de TaskWeaver y Djinn Stealer.
¿Estás cubierto en DefensOps?
Sí. Desde el plan Essential, DefensOps detecta esta clase de ataque en varias fases de la cadena:
- T1190 – Explotación de aplicación de cara a Internet: reglas que identifican patrones de bypass de autenticación y accesos administrativos anómalos contra software de soporte remoto expuesto.
- T1219 – Software de acceso remoto: correlación del abuso de herramientas como SimpleHelp para ejecutar comandos sobre endpoints gestionados.
- T1059 – Intérprete de comandos y scripting y T1555 – Credenciales de almacenes: detección de la ejecución del loader TaskWeaver y del robo de credenciales por parte de Djinn Stealer.
El motor de correlación de DefensOps encadena el acceso inicial, la ejecución del loader y la exfiltración de credenciales en un único incidente, reduciendo el tiempo de investigación.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: SecurityWeek · CISA KEV
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1190, T1219, T1059, T1555
- Explotación de bypass de autenticación en software de acceso remoto · T1190 · plan Essential
- Ejecución de loader y robo de credenciales post-explotación · T1219 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.