In der Fernwartungssoftware SimpleHelp klafft eine Sicherheitslücke, die die Höchstwertung beim Risiko erreicht. Sie wurde Mitte des Monats bekannt. Jetzt haben IT-Sicherheitsexperten Cyberangriffe auf das Sicherheitsleck beobachtet.
Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Sie hat die Schwachstelle dem „Known Exploited Vulnerabilities“-Katalog hinzugefügt. Details zu den Angriffen nennt die Behörde wie üblich nicht, wie diese aussehen und in welchem Umfang sie stattfinden, bleibt daher unklar. Allerdings hat Blackpoint einen Blogbeitrag veröffentlicht, in dem das IT-Sicherheitsunternehmen erörtert, dass es die Malware „TaskWeaver“ und „Djinn Stealer“ entdeckt hat, die nach Einbrüchen über die Schwachstelle CVE-2026-48558 auf die attackierten Systeme verfrachtet wurden. Die Malware läuft auf Linux ebenso wie unter macOS und Windows. Blackpoint stellt auch Hinweise für erfolgreiche Angriffe (Indicator of Compromise, IOC) bereit, anhand derer Admins prüfen können, ob sie mit der bekannten Malware attackiert wurden.
Bei der angegriffenen Schwachstelle handelt es sich um eine mögliche Umgehung der Authentifizierung, sofern „OIDC-Authentifizierung“ konfiguriert wurde. Die Identity-Tokens beim Login akzeptiert die Software, ohne zuvor ihre kryptografische Signatur zu prüfen. Angreifer aus dem Netz können dadurch ohne vorherige Anmeldung manipulierte Token senden und dadurch vollen Techniker-Zugang erhalten; in manchen Fällen lässt sich dadurch auch die Mehr-Faktor-Authentifizierung umgehen (CVE-2026-48558, CVSS 10.0, Risiko „kritisch“).






