Trusted Design

CVE-2026-48558 の詳細

CVEの情報

説明:
SimpleHelp versions 5.5.15 and prior and 6.0 pre-release versions contain an authentication bypass vulnerability in the OIDC authentication flow. When OIDC authentication is configured, identity tokens submitted during login are accepted without verifying their cryptographic signature. In a vulnerable configuration, a remote, unauthenticated attacker can submit a forged token containing arbitrary identity claims to obtain a fully authenticated technician session. In some configurations, this may also allow bypass of multi-factor authentication. No user interaction is required.

CVE更新日: 2026-06-12 18:16:35.317000

CVSSバージョン: 4.0

CVSSスコア: 9.5

KEVの情報

KEV更新日: 2026-06-29

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.011600000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

CVE-2026-48558について、以下の観点で解説します。

1. 脆弱性の概要

CVE-2026-48558は、リモートサポートおよびRMM(リモート監視・管理)プラットフォームであるSimpleHelpのOpenID Connect(OIDC)認証フローに存在する認証バイパスの脆弱性です。この脆弱性は、IDトークンの暗号署名が適切に検証されないことに起因します。認証されていない攻撃者は、偽造されたIDトークンを送信することで、完全に認証された技術者セッションを取得することができます。

1.1 影響 攻撃者は、新しい「Technician」ユーザーを作成し、管理対象のエンドポイントへのリモート接続、スクリプトの実行などの特権的な管理活動を実行できます。これにより、Windows、macOS、Linuxシステムにインフォスティーラー(Djinn Stealer)やその他のマルウェア(TaskWeaver)が展開される可能性があります。特定の構成では、多要素認証(MFA)もバイパスされる可能性があります。単一の技術者セッションが侵害されると、複数の顧客環境への侵入経路となるリスクがあります。

1.2 深刻度 深刻度は「Critical(緊急)」と評価されており、CVSSスコアは10.0(最大値)です。この脆弱性は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用されている脆弱性(KEV)カタログに追加されており、現時点で活発な悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン SimpleHelpのバージョン5.5.15以前、および6.0プレリリース版が影響を受けます。

2.2 影響を受ける設定 以下の条件がすべて満たされる場合に脆弱性の影響を受けます。 * SimpleHelpがOpenID Connect(OIDC)認証(汎用OIDCまたはAzure AD OIDCのいずれか)を使用するように構成されている。 * 少なくとも1つのテクニシャングループがOIDCプロバイダーに関連付けられている。 * そのテクニシャングループで「Allow group authenticated logins」が有効になっている。

Shodanの調査によると、公開されている約14,000台のSimpleHelpサーバーのうち、約7.2%がOIDC認証を使用するように設定されていることが示されています。

3. 影響を受けた時の兆候

  • 管理コンソールの「Administration → Technicians」セクションに見慣れない技術者名やメールアドレスが追加されている。
  • /opt/SimpleHelp/logs/server.log および /opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.log のログに、不正なアカウントによる登録情報、メールアドレス、または設定変更が記録されている可能性がある。
  • TaskWeaverローダーやDjinn Stealerマルウェアが展開されている(Windows、macOS、Linuxを標的とし、様々なプラットフォームからの資格情報を収集します)。

4. 推奨対策

4.1 本対策 * SimpleHelpをバージョン5.5.16以降にアップグレードしてください。 * 6.0系の場合は、6.0 RC2以降(理想的には公式の6.0リリース以降)にアップグレードしてください。 * CISAは、2026年7月2日を修正の期限として定めています。

4.2 暫定回避策(緩和策) * 即座にパッチを適用できない場合は、IPベースの許可リスト(アクセス制限)を使用して、技術者のログイン元を制限することを検討してください。 * OIDCを全く使用しないように設定する。 * OIDCを使用している場合、「Allow group authenticated logins」が有効になっているOIDC認証用に設定されたテクニシャングループがないことを確認する。 * パッチ適用が完了するまで、定期的にログを確認してください。

5. 他に解説すべき観点

  • 発見: この脆弱性は、Horizon3.aiによって2026年5月21日に発見されました。
  • CWE: CWE-347(デジタル署名の不適切な検証)に分類されます。
  • MSPへのリスク: マネージドサービスプロバイダー(MSP)形式でSimpleHelpを使用している組織にとって、単一の技術者セッションが侵害されると、複数の顧客環境に侵入される可能性があるため、リスクが急速に増大します。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る