ثغرة SimpleHelp الحرجة CVE-2026-48558 استُغلت في هجمات فعلية لزرع TaskWeaver وDjinn Stealer، ما يهدد الخوادم والأجهزة المُدارة بسرقة بيانات حساسة.
ما هي ثغرة SimpleHelp CVE-2026-48558؟
تتعلق الثغرة بخلل خطير للغاية في آلية المصادقة عبر OpenID Connect داخل منصة SimpleHelp، وحصلت على درجة 10.0 من 10 على مقياس CVSS، وهي أعلى درجة خطورة ممكنة.
عملياً، يتيح الخلل لمهاجم غير موثّق إنشاء جلسة فني "Technician" كاملة الصلاحيات عبر تمرير رمز مزور يحتوي على بيانات هوية مُختلقة، من دون الحاجة إلى بيانات دخول صالحة.
لماذا تُعد هذه الثغرة خطيرة؟
- تسمح بتجاوز المصادقة للوصول إلى حساب فني بصلاحيات واسعة.
- قد تتجاوز حتى الحماية متعددة العوامل MFA في بعض السيناريوهات.
- تمنح المهاجم قناة إدارة موثوقة للوصول إلى الأنظمة المُدارة.
كيف استُخدمت ثغرة SimpleHelp في الهجوم؟
بحسب تفاصيل الهجوم، استغل المهاجمون خادماً عاماً يعمل ببرنامج المراقبة والإدارة عن بُعد RMM للوصول إلى جلسة فني موثقة، ثم استخدموا هذه الجلسة لدفع برمجيات خبيثة إلى الأجهزة المرتبطة بالخادم.
هذا السيناريو خطير لأنه يستفيد من منصة إدارية موثوق بها داخل المؤسسة نفسها، ما يجعل نقل الملفات وتنفيذ الأوامر يبدو نشاطاً شرعياً في البداية. ووفقاً لما رصدته تيكبامين، فهذا النوع من الهجمات يرفع صعوبة الاكتشاف السريع.
أبرز مراحل سلسلة الاختراق
- استغلال CVE-2026-48558 على خادم SimpleHelp مكشوف للإنترنت.
- الحصول على جلسة Technician بصلاحيات إدارية.
- نقل ملفات خبيثة إلى الأجهزة المُدارة.
- تشغيل حمولة أولية ثم تنزيل برمجيات إضافية لسرقة البيانات.
ما هو TaskWeaver وما الذي يفعله؟
البرمجية الأولى التي ظهرت في الهجوم هي TaskWeaver، وهي محمّل خبيث مبني على Node.js ومموّه بشكل كبير لإخفاء سلوكه عن أدوات الحماية التقليدية.
تم رصد TaskWeaver على هيئة ملف باسم jquery.js يتم تشغيله عبر node.exe، لكنه لا ينفّذ أوامر ثابتة فقط، بل يعمل كقناة مرنة ومشفرة لجلب حمولات أخرى وتشغيلها لاحقاً.
- يجمع بصمة عن النظام المستهدف.
- ينشئ اتصالاً مشفراً مع خادم بعيد.
- يستقبل ملفات JavaScript إضافية ويشغّلها بمرونة.
- يمنح المهاجمين قدرة مستمرة على توسيع الهجوم بعد الاختراق.
ما الذي يسرقه Djinn Stealer من الأجهزة؟
الحمولة الثانية هي Djinn Stealer، وهي برمجية سرقة بيانات تستهدف أنظمة ويندوز وmacOS ولينكس، ما يجعل نطاق الخطر واسعاً على البيئات المختلطة داخل الشركات.
تركّز هذه البرمجية على جمع الاعتمادات والملفات الحساسة المرتبطة بالخدمات السحابية، أدوات البنية التحتية، مستودعات الشيفرة، متصفحات الويب، مفاتيح SSH، وحتى محافظ العملات الرقمية.
- بيانات تسجيل الدخول للخدمات السحابية.
- اعتمادات Git ومنصات التحكم بالمصادر.
- رموز وأسرار أدوات التطوير والبنية التحتية.
- بيانات المتصفحات ومحافظ العملات الرقمية.
- معلومات مرتبطة بمساعدات تطوير الذكاء الاصطناعي.
كيف تحمي مؤسستك من استغلال ثغرة SimpleHelp؟
الخطوة الأولى هي مراجعة خوادم SimpleHelp التي تعتمد على OIDC أو Azure AD OIDC وتحديثها فوراً، مع تقليل الوصول العام إلى الواجهة الإدارية قدر الإمكان. كما يجب مراجعة سجلات إنشاء حسابات الفنيين غير المعتادة وسلوك نقل الملفات إلى الأجهزة المُدارة.
في النهاية، تُظهر ثغرة SimpleHelp كيف يمكن لخلل واحد في المصادقة أن يتحول إلى بوابة لسرقة أسرار المؤسسة بالكامل. لذلك تنصح تيكبامين بالتحديث الفوري، وتعزيز المراقبة، والتعامل مع أي جلسة Technician جديدة على أنها مؤشر اختراق محتمل حتى يثبت العكس.