Introducción
El 15 de junio de 2026 se publicó CVE-2026-48558, una vulnerabilidad crítica (CVSS 10.0) en SimpleHelp que permite a atacantes autenticarse como técnicos sin credenciales válidas mediante manipulación del flujo OpenID Connect (OIDC). Este fallo afecta a servidores con OIDC genérico o Azure AD, y es explotado activamente para desplegar TaskWeaver (un loader Node.js obfuscado) y Djinn Stealer (un roba-credenciales multi-plataforma), capaz de extraer tokens de Azure, GitHub, AWS, Docker Hub, navegadores, wallets cripto y hasta asistentes de IA.
En esta guía aprenderás:
- A verificar si tu instancia de SimpleHelp es vulnerable.
- A aplicar el parche oficial de SimpleHelp con un comando único.
- A configurar Azure AD para bloquear OIDC vulnerable.
- A detectar actividad de TaskWeaver/Djinn Stealer en endpoints Linux y Azure.
- A aislar servidores comprometidos con políticas de Zero Trust.
Qué es y para qué sirve
Vulnerabilidad CVE-2026-48558
SimpleHelp es una herramienta de Remote Monitoring and Management (RMM) ampliamente usada para soporte técnico remoto. La vulnerabilidad reside en la validación incorrecta de assertions OIDC por parte del servidor SimpleHelp. Un atacante no autenticado puede:
- Enviar un token OIDC falsificado con claims arbitrarios (ej:
technician: true). - Obtener una sesión de técnico con privilegios máximos (ejecución de scripts, acceso a endpoints).
- Un atacante con acceso a la consola de SimpleHelp puede:
– Desplegar TaskWeaver: un loader Node.js que descarga payloads cifrados desde a.dev-tunnels[.]com.
– Ejecutar Djinn Stealer: extrae credenciales de:
– Cloud: Azure, AWS, GCP.
– Código: GitHub, GitLab, Bitbucket, npm, PyPI.
– IA: asistentes como GitHub Copilot, herramientas de ML locales.
– Infraestructura: Docker, Kubernetes, Terraform.
– Browsers: Chrome, Firefox, Edge (cookies, contraseñas).
– Wallets: MetaMask, Ledger, Trust Wallet.
– Sistemas: /proc/<pid>/cmdline, /proc/<pid>/environ, archivos de configuración.
# Djinn Stealer empaqueta datos en:
tar -czf steal.tar.gz /home/*/.aws/credentials /etc/docker/daemon.json
# Luego los envía a:
96.126.130[.]126:58942 (AES-256-GCM, clave protegida con RSA-2048)¿Por qué es crítico hoy?
Según CISA, esta vulnerabilidad ya está en el catálogo KEV (Known Exploited Vulnerabilities). Las agencias federales de EE.UU. deben parchear antes del 2 de julio de 2026. Sin embargo, todos los entornos empresariales son objetivo, especialmente aquellos con:
- SimpleHelp accesible desde Internet.
- OIDC habilitado (incluso con MFA).
- Integraciones con Azure AD o proveedores OIDC personalizados.
Prerequisitos
| Componente | Versión/Configuración requerida | Notas |
|---|---|---|
| SimpleHelp | Todas las versiones **antes de la 2026.6.1** | Verificar con BLOCK19 . |
| Sistema operativo | Linux (Ubuntu 20.04/22.04, RHEL 8/9) | También aplica para Windows Server. |
| Azure AD | Permisos de **Global Administrator** o **Cloud Application Administrator** | Para configurar OIDC en Azure. |
| Herramientas |
