Gevaarlijk lek in SimpleHelp RMM-servers actief misbruikt bij aanvallen

dinsdag, 30 juni 2026 (13:38) - Security.NL

In dit artikel:

Het Amerikaanse cyberagentschap CISA waarschuwt dat een ernstige kwetsbaarheid in SimpleHelp RMM-servers al actief wordt misbruikt. Het lek, CVE-2026-48558, krijgt de hoogste risicoscore van 10,0 en treft software die vooral door managed serviceproviders wordt gebruikt om systemen van klanten op afstand te beheren. Daardoor kan een aanvaller niet alleen toegang krijgen tot één server, maar ook tot alle gekoppelde klantomgevingen.

De fout zit in de OpenID Connect-inlogmethode van SimpleHelp: de software controleert de digitale handtekening van inlogtokens niet goed. Daardoor kan iemand zonder geldige inloggegevens een vervalst token aanbieden en zo een Technician-account maken op de RMM-server. Met zo’n account zijn scripts, beheerhandelingen en toegang tot endpoints mogelijk.

De kwetsbaarheid werd op 12 juni openbaar gemaakt, nadat SimpleHelp een week eerder al een patch had uitgebracht. Onderzoekers van Horizon3.ai ontdekten het probleem, maar hielden technische details eerst achter vanwege de ernst. Inmiddels meldt Blackpoint dat criminelen het lek daadwerkelijk inzetten om systemen te besmetten met infostealer-malware, die wachtwoorden en andere inloggegevens steelt. Volgens Horizon3.ai zijn ongeveer 14.000 SimpleHelp-servers vanaf internet bereikbaar, waarvan meer dan 7 procent nog kwetsbaar is.

BEKIJK OOK:

De Oranjezomer: Guido den Aantrekker over Frans Timmermans als Minister van Staat: 'Wat heeft hij gepresteerd?!'