📰 Source : CybersecurityNews.com — Date de publication : 16 juin 2026

🔍 Contexte Horizon3.ai a découvert une vulnérabilité critique dans la plateforme SimpleHelp RMM (Remote Monitoring and Management) via son initiative de recherche autonome « Sua Sponte » utilisant l’analyse pilotée par IA. La faille est référencée CVE-2026-48558.

⚠️ Nature de la vulnérabilité La faille résulte d’une validation incorrecte des assertions du fournisseur d’identité lors du processus d’authentification OpenID Connect (OIDC), notamment dans les intégrations avec Azure Active Directory. Elle est exploitable lorsque :

  • L’authentification OIDC est activée
  • Un TechnicianGroup est lié au fournisseur OIDC
  • Les connexions authentifiées par groupe sont autorisées

💥 Impact

  • Création d’un compte Technicien sans credentials valides par un attaquant non authentifié
  • Obtention de privilèges élevés : accès aux endpoints gérés, exécution de scripts, actions administratives
  • Contournement du MFA : l’attaquant peut enregistrer sa propre méthode d’authentification lors de la première connexion
  • Risque de mouvement latéral et de compromission de systèmes critiques

📊 Exposition

  • Environ 14 000 serveurs SimpleHelp accessibles publiquement (contre ~3 400 début 2025)
  • 7,2 % de ces systèmes sont configurés de manière vulnérable

🗓️ Chronologie

  • 21 mai 2026 : découverte de la vulnérabilité
  • 22 mai 2026 : signalement au vendeur
  • 9 juin 2026 : publication du patch
  • 12 juin 2026 : divulgation publique

📁 Artefacts forensiques Les journaux situés dans /opt/SimpleHelp/logs/ peuvent contenir des preuves d’activité malveillante (enregistrements de techniciens non autorisés, modifications de configuration inattendues).

📌 Type d’article : Divulgation de vulnérabilité avec analyse technique et indicateurs de compromission, publiée après la disponibilité d’un patch correctif.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Defense Evasion)
  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1021 — Remote Services (Lateral Movement)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • CVEs : CVE-2026-48558NVD · CIRCL
  • Chemins : /opt/SimpleHelp/logs/

🟡 Indice de vérification factuelle : 36/100 (moyenne)

  • ⬜ cybersecuritynews.com — source non référencée (0pts)
  • ✅ 6067 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://cybersecuritynews.com/simplehelp-servers-exposed-authentication-bypass-disclosure/

🖴 Archive : https://web.archive.org/web/20260618072805/https://cybersecuritynews.com/simplehelp-servers-exposed-authentication-bypass-disclosure/