الوكاد
ثغرة حرجة في SimpleHelp تتيح إنشاء حسابات دعم عن بُعد بصلاحيات مرتفعة
ثغرات وتحديثاتحرج

ثغرة حرجة في SimpleHelp تتيح إنشاء حسابات دعم عن بُعد بصلاحيات مرتفعة

BleepingComputer2 دقائق قراءة

باختصار

  • ثغرة CVE-2026-48558 الحرجة في SimpleHelp تسمح بإنشاء حسابات فنيين بدون مصادقة على الخوادم المستخدِمة لـ OIDC.
  • الثغرة تطال الإصدارات 5.5.15 وما قبلها، وقد أصدرت الشركة إصلاحاً في 9 يونيو 2025 ضمن الإصدارين 5.5.16 و6.0RC2.
  • نحو 14,000 خادم SimpleHelp مكشوف على الإنترنت، ويُقدَّر أن 7.2% منها تستخدم OIDC وبالتالي معرّضة للاستغلال.
معرّفات الثغرات:CVE-2026-48558

ماذا حدث

كشف باحثو شركة الأمن الهجومي Horizon3.ai عن ثغرة أمنية حرجة في برنامج الإدارة عن بُعد SimpleHelp، تحمل المعرّف CVE-2026-48558، تتيح لمهاجم غير موثّق إنشاء حسابات فنيين (Technician Accounts) بصلاحيات مرتفعة على الخوادم التي تعتمد بروتوكول المصادقة المفتوحة عبر الهوية (OIDC - OpenID Connect). وقد صنّفت الثغرة بمستوى خطورة حرج.

أصدرت SimpleHelp الإصلاح في 9 يونيو 2025 من خلال الإصدارين 5.5.16 و6.0RC2، في حين لم تُرصد حتى الآن أي حوادث استغلال فعلي موثّقة.

التفاصيل

يكمن جذر المشكلة في الطريقة التي يتحقق بها SimpleHelp من التأكيدات الهوياتية (Identity Assertions) الواردة من مزوّد الهوية (IdP) عبر بروتوكول OIDC. وعند تفعيل هذا البروتوكول، يستطيع المهاجم تجاوز عملية التحقق بخطوتين (MFA - Multi-Factor Authentication) وتسجيل الدخول كفني جديد دون الحاجة إلى أي بيانات اعتماد حقيقية.

وأوضح الباحث Zach Hanley من Horizon3.ai أن الحساب المُنشأ بهذه الطريقة يتمتع افتراضياً بصلاحيات إدارية واسعة، تشمل الوصول عن بُعد إلى الأجهزة المُدارة وتنفيذ السكريبتات وإجراء تغييرات في الإعدادات.

تطال الثغرة الإصدارات 5.5.15 وما قبلها، إضافة إلى إصدارات 6.0 قبل الإصدار التجريبي RC2، غير أنها لا تؤثر على كل خادم يشغّل هذه الإصدارات؛ إذ تشترط لنجاح الاستغلال توافر ثلاثة شروط في آنٍ واحد:

  • تفعيل مصادقة OIDC على الخادم.
  • ربط مجموعة فنيين (Technician Group) واحدة على الأقل بمزوّد OIDC.
  • تمكين خيار «السماح بتسجيل الدخول عبر المجموعة» (Allow group authenticated logins).

وفق بيانات محرك البحث Shodan، يبلغ عدد خوادم SimpleHelp المكشوفة على الإنترنت نحو 14,000 خادم، وتشير تحليلات Horizon3.ai إلى أن ما يقارب 7.2% منها مهيّأة لاستخدام OIDC، مع وجود خيار «السماح بتسجيل الدخول عبر المجموعة» مفعّلاً في حالات كثيرة منها.

لماذا يهمّك

يُستخدم SimpleHelp على نطاق واسع في بيئات المؤسسات الكبرى التي تعتمد Azure AD أو حلول OIDC الأخرى لإدارة الهوية، مما يجعل نطاق التأثير المحتمل واسعاً. وسبق أن استقطب هذا البرنامج اهتمام جهات التهديد في مناسبات سابقة، ما يرفع احتمالية الاستغلال متى انتشرت تفاصيل الثغرة.

يمنح الحساب المزيّف المهاجمَ موطئ قدم داخل البنية التحتية المدارة، قادراً منه على التحرك الجانبي (Lateral Movement) وتنفيذ أوامر على الأجهزة المتصلة، وهو ما يجعل هذا النوع من الثغرات بالغ الخطورة في سياق أمن سلسلة التوريد والدعم التقني.

توصيات

  • **التحديث الفوري** إلى الإصدار 5.5.16 أو 6.0RC2 باعتباره الحل الأمثل.
  • في حال تعذّر التحديث، تقييد مصادر تسجيل دخول الفنيين باستخدام **القوائم البيضاء المبنية على عناوين IP** (IP-based allowlists).
  • مراجعة سجلات الخادم في المسارات `/opt/SimpleHelp/logs/server.log` و`/opt/SimpleHelp/logs/YYYYMMDD-HHMMSS/server.log` بحثاً عن تسجيلات حسابات فنيين مشبوهة أو تغييرات غير مألوفة في الإعدادات.
  • رصد الحسابات الجديدة التي تحمل أسماء أو عناوين بريد إلكتروني مجهولة أو غير مألوفة كمؤشر محتمل على الاختراق.
#SimpleHelp#OIDC#ثغرة حرجة#إدارة عن بُعد#Horizon3.ai#Azure AD#حساب مزيف

مقالات ذات صلة