SimpleHelp: un fallo crítico (CVSS 10) permite tomar el control y desplegar malware

Una vulnerabilidad de gravedad máxima en el software de soporte remoto SimpleHelp está siendo explotada activamente para saltarse la autenticación, ejecutar código en remoto y entregar malware. La agencia estadounidense CISA la ha añadido a su catálogo de vulnerabilidades explotadas conocidas (KEV), obligando a los organismos federales a parchear en un plazo muy corto.

El problema

El fallo, identificado como CVE-2026-48558, recibe una puntuación CVSS 3.1 de 10.0 (la máxima posible). Se trata de un bypass de autenticación (CWE-287): el servidor de SimpleHelp no verifica correctamente la firma del token OIDC presentado por el cliente, de modo que un atacante puede forjar un token y autenticarse como cualquier usuario, incluido el administrador, sin credenciales válidas.

Una vez dentro, el acceso administrativo del panel de SimpleHelp se convierte en ejecución remota de código (RCE) sobre los endpoints gestionados: SimpleHelp está diseñado precisamente para lanzar comandos y sesiones sobre las máquinas de soporte.

Están afectadas las versiones anteriores a la 5.5.16 y la rama 6.0 RC2.

Cadena de ataque observada

Los investigadores de Blackpoint Cyber, que descubrieron los ataques, documentaron el despliegue de dos piezas de malware tras la explotación:

  • TaskWeaver: un loader escrito en Node.js que establece persistencia y descarga cargas adicionales.
  • Djinn Stealer: un infostealer que roba credenciales, tokens de sesión y datos del navegador.

Es la evolución típica de este tipo de intrusiones: acceso inicial por la vulnerabilidad → loader → robo de credenciales → movimiento lateral.

Recomendaciones inmediatas

  • Actualiza SimpleHelp a la versión 5.5.16 o superior de forma prioritaria; la rama 6.0 RC2 debe migrarse a una versión estable parcheada.
  • No expongas el panel de administración de SimpleHelp directamente a Internet; colócalo tras VPN o lista de IP permitidas.
  • Revisa los registros en busca de autenticaciones anómalas, sesiones administrativas inesperadas y procesos hijos de Node.js.
  • Rota credenciales de cualquier cuenta que pudiera haber sido comprometida y busca indicadores de TaskWeaver y Djinn Stealer.

¿Estás cubierto en DefensOps?

Sí. Desde el plan Essential, DefensOps detecta esta clase de ataque en varias fases de la cadena:

  • T1190 – Explotación de aplicación de cara a Internet: reglas que identifican patrones de bypass de autenticación y accesos administrativos anómalos contra software de soporte remoto expuesto.
  • T1219 – Software de acceso remoto: correlación del abuso de herramientas como SimpleHelp para ejecutar comandos sobre endpoints gestionados.
  • T1059 – Intérprete de comandos y scripting y T1555 – Credenciales de almacenes: detección de la ejecución del loader TaskWeaver y del robo de credenciales por parte de Djinn Stealer.

El motor de correlación de DefensOps encadena el acceso inicial, la ejecución del loader y la exfiltración de credenciales en un único incidente, reduciendo el tiempo de investigación.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: SecurityWeek · CISA KEV