Bypass d'authentification OIDC sans interaction dans SimpleHelp RMM. CVSS 10.0 exploité activement depuis juin 2026 : déploiement de TaskWeaver et Djinn Stealer sur les endpoints de tous les clients MSP victimes.
En bref
- CVE-2026-48558 : bypass d'authentification OIDC CVSS 10.0 dans SimpleHelp RMM, exploité activement depuis fin juin 2026
- Toutes les versions SimpleHelp ≤ 5.5.15 et 6.0 RC1 sont vulnérables si OIDC est activé
- Patcher immédiatement vers 5.5.16 ou 6.0 RC2, auditer les comptes Technician et faire pivoter tous les secrets d'environnement
Les faits
Le 29 juin 2026, la CISA a ajouté CVE-2026-48558 à son catalogue KEV (Known Exploited Vulnerabilities) avec un mandat de correction d'urgence de trois jours sous la Binding Operational Directive BOD 26-04 — l'un des délais les plus courts jamais imposés. Ce niveau d'urgence reflète à la fois la gravité maximale de la faille (CVSS 10.0) et la rapidité de son exploitation dans la nature après la publication d'un proof-of-concept par Horizon3.ai.
SimpleHelp est un logiciel RMM (Remote Monitoring and Management) utilisé par des milliers de MSPs (à travers le monde pour administrer à distance les systèmes de leurs clients. Depuis une seule console SimpleHelp, un technicien peut déployer des logiciels, accéder aux terminaux, modifier des configurations et exécuter des commandes sur l'intégralité du parc de tous ses clients. Cette position de confiance et de privilèges étendus fait des serveurs SimpleHelp une cible stratégique de premier plan pour les groupes d'attaquants cherchant un effet de levier supply chain.
La vulnérabilité CVE-2026-48558 réside dans le mécanisme d'authentification OpenID Connect (OIDC) de SimpleHelp. Lorsque cette méthode est activée, le serveur est supposé vérifier la signature cryptographique des tokens OIDC reçus avant d'accorder un accès. Or, la vérification de signature est absente : le serveur accepte n'importe quel token OIDC syntaxiquement valide, qu'il soit émis par un fournisseur d'identité légitime ou forgé de toutes pièces. Un attaquant distant non authentifié peut donc construire un token OIDC avec les claims d'identité et de rôle souhaités et obtenir instantanément une session Technician avec droits administrateur complets. L'authentification multi-facteurs est intégralement contournnée dans ce scénario.
La chaîne d'exploitation documentée par Arctic Wolf et Blackpoint Cyber suit un schéma en trois phases. Dans un premier temps, l'attaquant forge un token OIDC avec des claims administrateurs arbitraires et le soumet à l'endpoint de callback du serveur SimpleHelp exposé sur Internet. SimpleHelp crée automatiquement un compte Technician avec privilèges administrateurs pour l'identité forgée, sans aucune vérification d'acréditation. Dans un deuxième temps, l'attaquant dispose d'un accès complet à l'interface d'administration et peut piloter l'intégralité des endpoints clients gérés. Dans un troisième temps, les charges utiles malveillantes sont déployées silencieusement.
Deux charges utiles ont été formellement identifiées dans les incidents documentés. La première est TaskWeaver, un loader Node.js fortement obfusqué et déguisé en fichier jquery.js, exécuté via un processus node.exe en apparence légitime, qui établit un canal de communication chiffré et persistant pour la livraison de payloads supplémentaires. La seconde est Djinn Stealer, un infostealer multiplateforme ciblant précisément les identifiants cloud (AWS, Azure, GCP), les clés API, les tokens OAuth, les secrets d'environnement et les clés d'API d'intelligence artificielle stockées sur les machines gérées. WaterISAC a émis une advisory TLP:CLEAR spécifiquement destinée aux opérateurs d'infrastructures critiques utilisant des MSPs comme vecteur d'administration à distance.
La dimension supply chain de cette faille est sa caractéristique la plus dangereuse. Un MSP gérant 300 à 500 clients via une instance SimpleHelp compromise offre à l'attaquant un accès administrateur simultané sur l'ensemble de ces organisations. Horizon3.ai a publié des indicateurs de compromission (IoCs) détaillés pour TaskWeaver et Djinn Stealer. Les équipes de threat intelligence signalent des délais d'exploitation inférieurs à 24 heures après la publication du proof-of-concept, selon les honeypots d'Arctic Wolf et Blackpoint Cyber.
Les versions affectées couvrent SimpleHelp 5.5.15 et toutes les versions antérieures, ainsi que les versions 6.0 RC1 et antérieures. Simple Help Ltd a publié le correctif le 5 juin 2026 (versions 5.5.16 et 6.0 RC2). La Shadowserver Foundation, qui surveille les instances SimpleHelp exposées sur Internet, a relevé qu'une proportion significative des serveurs n'avait pas encore été mise à jour au moment de l'ajout au KEV fin juin. La condition de déclenchement — OIDC activé — est relativement fréquente dans les configurations MSP modernes.
CVE-2026-48558 s'inscrit dans une tendance de fond : les outils RMM sont devenus des cibles prioritaires. Kaseya VSA en 2021, ConnectWise ScreenConnect en 2024, AnyDesk en 2024, et maintenant SimpleHelp en 2026 ont tous fait l'objet d'exploitation active. La logique est implacable : compromettre un outil d'administration à accès privilégié est structurellement plus rentable que de compromettre chaque organisation cible individuellement.
Impact et exposition
Tout serveur SimpleHelp exposé sur Internet avec OIDC activé et une version ≤ 5.5.15 ou 6.0 RC1 est directement exploitable sans authentification. L'impact s'étend à l'intégralité du parc d'endpoints gérés par le MSP concerné. Le secteur PME et ETI, qui externalise fréquemment sa gestion IT à des MSPs régionaux, représente la population la plus exposée. Les organisations de santé, les collectivités locales et les acteurs industriels gérés par des MSPs présentent un risque particulièrement élevé compte tenu de la sensibilité de leurs données.
Recommandations
- Mettre à jour immédiatement SimpleHelp vers la version 5.5.16 ou 6.0 RC2
- Si OIDC n'est pas strictement nécessaire en production, désactiver cette fonctionnalité dans la configuration du serveur SimpleHelp
- Auditer exhaustivement la liste complète des comptes Technician et supprimer toute entrée non reconnue
- Scanner tous les endpoints gérés à la recherche des IoCs TaskWeaver (processus node.exe avec fichiers jquery.js en emplacement inhabituel) et Djinn Stealer publiés par Horizon3.ai
- Faire pivoter l'ensemble des identifiants, clés API, tokens OAuth et secrets d'environnement accessibles depuis les systèmes gérés
- Si votre organisation est cliente d'un MSP utilisant SimpleHelp, exiger par écrit la confirmation que l'instance a été patchée, auditée et que les endpoints ont été scannés
Alerte critique
CVE-2026-48558 est exploité activement dans des attaques supply chain ciblant les MSPs et leurs clients. Si votre MSP utilise SimpleHelp en version ≤ 5.5.15, considérez vos systèmes comme potentiellement compromis jusqu'à preuve du contraire. Les délais d'exploitation observés après publication du PoC sont inférieurs à 24 heures.
Notre MSP affirme avoir patché — comment le vérifier indépendamment ?
Demandez à votre MSP la version exacte de SimpleHelp déployée (elle doit être 5.5.16 minimum ou 6.0 RC2) et la date d'application du correctif. Demandez également le résultat de l'audit des comptes Technician et la liste des IoCs recherchés sur vos endpoints. Si votre MSP ne peut pas fournir ces éléments rapidement et de façon documentée, c'est un signal d'alerte sérieux. Un prestataire de sécurité indépendant peut également scanner vos systèmes à la recherche de TaskWeaver et des serveurs C2 associés à Djinn Stealer.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
JetBrains : bypass auth CVSS 9.8 sur Hub et YouTrack, chaîne RCE vers TeamCity et IntelliJ
Chaîne de vulnérabilités critique dans l'écosystème JetBrains on-premise : bypass auth CVSS 9.8 sur Hub/YouTrack (CVE-2026-56141) combiné à des RCE sur TeamCity et IntelliJ, compromettant l'intégralité des pipelines CI/CD.
CVE-2026-48282 : Adobe ColdFusion CVSS 10.0 exploité activement, webshells RDS en production
Path traversal CVSS 10.0 dans le composant RDS de ColdFusion permettant l'écriture de webshells sans authentification. CISA KEV le 8 juillet 2026, environ 750 instances exposées sur Internet, exploitation active.
Apple perd en Europe : le DMA s'impose sur l'App Store
Le Tribunal général de l'UE a rejeté le 8 juillet 2026 le recours d'Apple contre sa désignation comme gatekeeper DMA. L'App Store reste contraint à l'ouverture aux boutiques et paiements alternatifs.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire