事件经过
SimpleHelp 在其 OIDC 身份验证流程中包含身份验证绕过漏洞(CWE-347:加密签名验证不当)。配置 OIDC 身份验证时,登录期间提交的身份令牌被接受而不验证其加密签名。远程未身份验证的攻击者可以伪造或重放任何用户账户的 OIDC 令牌(包括管理员),在没有有效凭证的情况下获得完全访问权限。CISA 于 2026 年 6 月 29 日将其添加到 KEV 目录,联邦机构修复截止期限为 2026 年 7 月 2 日。
影响分析
SimpleHelp 是一个 RMM(远程监控和管理)平台,被全球 70 多个国家的 6,000 多家公司使用。RMM 工具是勒索软件行为者和 APT 的高价值目标,因为它们提供对规模化托管端点的持久特权访问。虽然不是 AI 原生的,但 SimpleHelp 越来越多地被集成到代理 IT 自动化工作流和 AI 驱动的 SOC 工具中作为远程执行后端。身份验证绕过使攻击者获得与所有托管端点相同的代理级访问权限。
攻击途径
远程未身份验证攻击者将精心构造或重放的 OIDC 身份令牌提交到 SimpleHelp 登录端点;服务器在没有签名验证的情况下接受它,授予完全管理访问权限。
受影响系统
SimpleHelp(2026-05 安全更新中解决的版本)
缓解措施
立即应用 SimpleHelp 2026-05 安全更新。联邦机构必须按照 CISA BOD 26-04 在 2026 年 7 月 2 日前进行补救。公告:https://simple-help.com/security/simplehelp-security-update-2026-05