무슨 일이 있었나
CVE-2026-48558 (CVSS 10, CWE-347)은 SimpleHelp의 OIDC 흐름에서의 중대한 인증 우회로, 로그인 중에 제출된 identity 토큰이 암호화 서명을 검증하지 않고 수락되어 인증되지 않은 공격자가 토큰을 위조하고 완전히 인증된 기술자 세션을 얻을 수 있습니다. 2026-06-29에 CISA KEV에 추가되었으며 연방 기한은 2026-07-02입니다. Blackpoint의 Adversary Pursuit Group은 두 가지 악성코드 제품군을 배포하는 능동적인 악용을 확인했습니다: TaskWeaver (jquery.js로 위장한 Node.js 난독화된 로더)와 Djinn Stealer는 클라우드 자격증명, SSH 키, CI/CD 토큰, 암호화폐 지갑 및 — 특히 — AI 개발 도구 자격증명과 MCP 서버 구성 토큰을 목표로 하는 크로스 플랫폼 정보 탈취 악성코드입니다.
왜 중요한가
Djinn Stealer는 AI 개발 도구와 MCP 구성을 위한 인증 데이터를 명시적으로 수집합니다. 탈취된 MCP 토큰은 공격자에게 AI 어시스턴트에 연결된 모든 저장소, 데이터베이스 및 클라우드 서비스에 대한 액세스 권한을 부여할 수 있습니다. SimpleHelp는 수백만 개의 엔드포인트를 관리하는 6,000개 이상의 조직에서 사용됩니다. 단일 SimpleHelp 인스턴스의 손상으로 공격자는 모든 관리되는 시스템에 대한 완전한 RMM 수준의 액세스를 얻게 되며, AI 자격증명 탈취는 더 광범위한 공급망 손상을 위한 힘의 배수가 됩니다.
공격 경로
인증되지 않은 공격자가 위조된 OIDC identity 토큰을 인터넷에 노출된 SimpleHelp 서버로 전송하여 권한이 있는 기술자 세션을 얻은 다음 해당 세션을 사용하여 RMM 파일 전송 및 명령 실행을 통해 모든 관리되는 엔드포인트에 TaskWeaver와 Djinn Stealer를 배포합니다.
영향받는 시스템
SimpleHelp (OIDC 인증이 활성화된 모든 버전, 2026-05 보안 업데이트 이전)
완화 방안
https://simple-help.com/security/simplehelp-security-update-2026-05에서 SimpleHelp 보안 업데이트를 즉시 적용하십시오. 연방 기관은 CISA BOD 26-04에 따라 2026-07-02까지 패치해야 합니다.