Apa yang terjadi
CVE-2026-48558 (CVSS 10, CWE-347) adalah authentication bypass kritis dalam alur OIDC SimpleHelp: identity token yang dikirimkan saat login diterima tanpa memverifikasi signature kriptografis mereka, memungkinkan attacker yang tidak terauthentikasi untuk memalsukan token dan memperoleh fully authenticated technician session. Ditambahkan ke CISA KEV pada 2026-06-29 dengan federal due date 2026-07-02. Blackpoint's Adversary Pursuit Group mengkonfirmasi active exploitation mengirimkan dua malware families: TaskWeaver (Node.js obfuscated loader yang menyamar sebagai jquery.js) dan Djinn Stealer, cross-platform infostealer menargetkan cloud credentials, SSH keys, CI/CD tokens, cryptocurrency wallets, dan — critically — AI development tool credentials dan MCP server configuration tokens.
Mengapa penting
Djinn Stealer secara eksplisit mengumpulkan authentication data untuk AI development tools dan MCP configurations. Stolen MCP tokens dapat memberikan attacker akses ke setiap repository, database, dan cloud service yang terhubung dengan AI assistant. SimpleHelp digunakan oleh 6.000+ organisasi mengelola millions of endpoints. Compromise dari single SimpleHelp instance memberikan attacker full RMM-level access ke semua managed systems, membuat AI credential theft menjadi force-multiplier untuk broader supply-chain compromise.
Vektor serangan
Unauthenticated attacker mengirimkan forged OIDC identity token ke internet-facing SimpleHelp server, memperoleh privileged technician session, kemudian menggunakan session tersebut untuk mengirimkan TaskWeaver dan Djinn Stealer ke semua managed endpoints via RMM file transfer dan command execution.
Sistem yang terdampak
SimpleHelp (semua versi dengan OIDC authentication enabled, sebelum 2026-05 security update)
Mitigasi
Terapkan SimpleHelp security update dari https://simple-help.com/security/simplehelp-security-update-2026-05 segera. Agensi federal harus patch sebelum 2026-07-02 per CISA BOD 26-04.