En bref

  • CVE-2026-48558 : bypass d'authentification OIDC CVSS 10.0 dans SimpleHelp RMM, exploité activement depuis fin juin 2026
  • Toutes les versions SimpleHelp ≤ 5.5.15 et 6.0 RC1 sont vulnérables si OIDC est activé
  • Patcher immédiatement vers 5.5.16 ou 6.0 RC2, auditer les comptes Technician et faire pivoter tous les secrets d'environnement

Les faits

Le 29 juin 2026, la CISA a ajouté CVE-2026-48558 à son catalogue KEV (Known Exploited Vulnerabilities) avec un mandat de correction d'urgence de trois jours sous la Binding Operational Directive BOD 26-04 — l'un des délais les plus courts jamais imposés. Ce niveau d'urgence reflète à la fois la gravité maximale de la faille (CVSS 10.0) et la rapidité de son exploitation dans la nature après la publication d'un proof-of-concept par Horizon3.ai.

SimpleHelp est un logiciel RMM (Remote Monitoring and Management) utilisé par des milliers de MSPs (à travers le monde pour administrer à distance les systèmes de leurs clients. Depuis une seule console SimpleHelp, un technicien peut déployer des logiciels, accéder aux terminaux, modifier des configurations et exécuter des commandes sur l'intégralité du parc de tous ses clients. Cette position de confiance et de privilèges étendus fait des serveurs SimpleHelp une cible stratégique de premier plan pour les groupes d'attaquants cherchant un effet de levier supply chain.

La vulnérabilité CVE-2026-48558 réside dans le mécanisme d'authentification OpenID Connect (OIDC) de SimpleHelp. Lorsque cette méthode est activée, le serveur est supposé vérifier la signature cryptographique des tokens OIDC reçus avant d'accorder un accès. Or, la vérification de signature est absente : le serveur accepte n'importe quel token OIDC syntaxiquement valide, qu'il soit émis par un fournisseur d'identité légitime ou forgé de toutes pièces. Un attaquant distant non authentifié peut donc construire un token OIDC avec les claims d'identité et de rôle souhaités et obtenir instantanément une session Technician avec droits administrateur complets. L'authentification multi-facteurs est intégralement contournnée dans ce scénario.

La chaîne d'exploitation documentée par Arctic Wolf et Blackpoint Cyber suit un schéma en trois phases. Dans un premier temps, l'attaquant forge un token OIDC avec des claims administrateurs arbitraires et le soumet à l'endpoint de callback du serveur SimpleHelp exposé sur Internet. SimpleHelp crée automatiquement un compte Technician avec privilèges administrateurs pour l'identité forgée, sans aucune vérification d'acréditation. Dans un deuxième temps, l'attaquant dispose d'un accès complet à l'interface d'administration et peut piloter l'intégralité des endpoints clients gérés. Dans un troisième temps, les charges utiles malveillantes sont déployées silencieusement.

Deux charges utiles ont été formellement identifiées dans les incidents documentés. La première est TaskWeaver, un loader Node.js fortement obfusqué et déguisé en fichier jquery.js, exécuté via un processus node.exe en apparence légitime, qui établit un canal de communication chiffré et persistant pour la livraison de payloads supplémentaires. La seconde est Djinn Stealer, un infostealer multiplateforme ciblant précisément les identifiants cloud (AWS, Azure, GCP), les clés API, les tokens OAuth, les secrets d'environnement et les clés d'API d'intelligence artificielle stockées sur les machines gérées. WaterISAC a émis une advisory TLP:CLEAR spécifiquement destinée aux opérateurs d'infrastructures critiques utilisant des MSPs comme vecteur d'administration à distance.

La dimension supply chain de cette faille est sa caractéristique la plus dangereuse. Un MSP gérant 300 à 500 clients via une instance SimpleHelp compromise offre à l'attaquant un accès administrateur simultané sur l'ensemble de ces organisations. Horizon3.ai a publié des indicateurs de compromission (IoCs) détaillés pour TaskWeaver et Djinn Stealer. Les équipes de threat intelligence signalent des délais d'exploitation inférieurs à 24 heures après la publication du proof-of-concept, selon les honeypots d'Arctic Wolf et Blackpoint Cyber.

Les versions affectées couvrent SimpleHelp 5.5.15 et toutes les versions antérieures, ainsi que les versions 6.0 RC1 et antérieures. Simple Help Ltd a publié le correctif le 5 juin 2026 (versions 5.5.16 et 6.0 RC2). La Shadowserver Foundation, qui surveille les instances SimpleHelp exposées sur Internet, a relevé qu'une proportion significative des serveurs n'avait pas encore été mise à jour au moment de l'ajout au KEV fin juin. La condition de déclenchement — OIDC activé — est relativement fréquente dans les configurations MSP modernes.

CVE-2026-48558 s'inscrit dans une tendance de fond : les outils RMM sont devenus des cibles prioritaires. Kaseya VSA en 2021, ConnectWise ScreenConnect en 2024, AnyDesk en 2024, et maintenant SimpleHelp en 2026 ont tous fait l'objet d'exploitation active. La logique est implacable : compromettre un outil d'administration à accès privilégié est structurellement plus rentable que de compromettre chaque organisation cible individuellement.

Impact et exposition

Tout serveur SimpleHelp exposé sur Internet avec OIDC activé et une version ≤ 5.5.15 ou 6.0 RC1 est directement exploitable sans authentification. L'impact s'étend à l'intégralité du parc d'endpoints gérés par le MSP concerné. Le secteur PME et ETI, qui externalise fréquemment sa gestion IT à des MSPs régionaux, représente la population la plus exposée. Les organisations de santé, les collectivités locales et les acteurs industriels gérés par des MSPs présentent un risque particulièrement élevé compte tenu de la sensibilité de leurs données.

Recommandations

  • Mettre à jour immédiatement SimpleHelp vers la version 5.5.16 ou 6.0 RC2
  • Si OIDC n'est pas strictement nécessaire en production, désactiver cette fonctionnalité dans la configuration du serveur SimpleHelp
  • Auditer exhaustivement la liste complète des comptes Technician et supprimer toute entrée non reconnue
  • Scanner tous les endpoints gérés à la recherche des IoCs TaskWeaver (processus node.exe avec fichiers jquery.js en emplacement inhabituel) et Djinn Stealer publiés par Horizon3.ai
  • Faire pivoter l'ensemble des identifiants, clés API, tokens OAuth et secrets d'environnement accessibles depuis les systèmes gérés
  • Si votre organisation est cliente d'un MSP utilisant SimpleHelp, exiger par écrit la confirmation que l'instance a été patchée, auditée et que les endpoints ont été scannés

Alerte critique

CVE-2026-48558 est exploité activement dans des attaques supply chain ciblant les MSPs et leurs clients. Si votre MSP utilise SimpleHelp en version ≤ 5.5.15, considérez vos systèmes comme potentiellement compromis jusqu'à preuve du contraire. Les délais d'exploitation observés après publication du PoC sont inférieurs à 24 heures.

Notre MSP affirme avoir patché — comment le vérifier indépendamment ?

Demandez à votre MSP la version exacte de SimpleHelp déployée (elle doit être 5.5.16 minimum ou 6.0 RC2) et la date d'application du correctif. Demandez également le résultat de l'audit des comptes Technician et la liste des IoCs recherchés sur vos endpoints. Si votre MSP ne peut pas fournir ces éléments rapidement et de façon documentée, c'est un signal d'alerte sérieux. Un prestataire de sécurité indépendant peut également scanner vos systèmes à la recherche de TaskWeaver et des serveurs C2 associés à Djinn Stealer.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit