🔍 Contexte

Le 12 juin 2026, Horizon3.ai publie une divulgation technique concernant CVE-2026-48558, une vulnérabilité de contournement d’authentification affectant l’application de supervision et d’accès à distance SimpleHelp. La découverte a été réalisée par un pipeline de recherche autonome en vulnérabilités basé sur l’IA générative, baptisé “Sua Sponte”, développé en interne par Horizon3.ai.

🐛 Vulnérabilité

La faille réside dans la manière dont SimpleHelp valide les assertions de l’Identity Provider (IdP) lors d’une authentification OpenID Connect (OIDC) (générique ou Azure AD). Dans les configurations vulnérables, un attaquant non authentifié peut créer et s’authentifier en tant que nouveau compte Technicien, contournant ainsi le MFA (l’attaquant peut auto-enregistrer sa propre méthode MFA lors de la première connexion).

Conditions requises pour l’exploitation :

  • OIDC activé sur le serveur SimpleHelp
  • Au moins un TechnicianGroup associé au fournisseur OIDC
  • Option “Allow group authenticated logins” activée sur le TechnicianGroup

Impact : Un Technicien créé frauduleusement peut effectuer des activités de gestion privilégiées : accès distant aux endpoints gérés, exécution de scripts, etc.

📋 Indicateurs de compromission

Les IoCs fournis sont des patterns de logs observables dans les journaux serveur SimpleHelp :

  • Présence de comptes Techniciens inconnus dans l’interface d’administration
  • Entrées de log du type : Registering technician login for rapidresponse-4b611bdd@horizon3.ai
  • Entrées de log du type : Configuration save requested (Forged Attacker - rapidresponse-4b611bdd@horizon3.ai)

Chemins des logs système :

  • /opt/SimpleHelp/logs/server.log
  • /opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.log

📡 Exposition Internet

Depuis janvier 2025, le nombre de serveurs SimpleHelp exposés sur Internet est passé de ~3 400 à près de 14 000. Environ 7,2% d’un échantillon aléatoire utilisaient la méthode d’authentification OIDC vulnérable.

📅 Chronologie

  • 21 mai 2026 : Découverte et validation de la vulnérabilité
  • 22 mai 2026 : Signalement à SimpleHelp
  • 9 juin 2026 : Horizon3.ai constate que SimpleHelp a publié des correctifs sans en informer les chercheurs
  • 12 juin 2026 : Publication du blog

📌 Type d’article

Il s’agit d’une divulgation de vulnérabilité accompagnée d’indicateurs de compromission, publiée par une firme de recherche en sécurité offensive. L’objectif principal est d’informer les administrateurs SimpleHelp des conditions d’exploitation et des traces laissées par une attaque.

🧠 TTPs et IOCs détectés

TTP

  • T1556 — Modify Authentication Process (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1133 — External Remote Services (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • Emails : rapidresponse-4b611bdd@horizon3.ai
  • CVEs : CVE-2026-48558NVD · CIRCL
  • Fichiers : server.log
  • Chemins : /opt/SimpleHelp/logs/server.log
  • Chemins : /opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.log

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ horizon3.ai — source non référencée (0pts)
  • ✅ 6143 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/