Døren er et værktøj I aldrig har installeret

De fleste virksomheder kører ikke SimpleHelp selv. Deres udliciterede it-leverandør eller managed-service-partner gør det, og det fjernværktøj til overvågning og styring er netop det, der lader en tekniker nå ind i hver bærbar og server for at ordne ting uden at møde op ved skrivebordet. CVE-2026-48558 forvandler den bekvemmelighed til en universalnøgle. Fejlen ligger i, hvordan SimpleHelp behandlede identitetstokens efter OpenID Connect-protokollen: serveren accepterede et token uden at kontrollere dets kryptografiske signatur ordentligt, så en angriber uden loginoplysninger kunne lave sit eget token, fremvise det og få en teknikersession med fulde rettigheder.

Derfra kan angriberen gøre, hvad enhver tekniker gør: fjernstyre de styrede maskiner, køre scripts og bevæge sig gennem hele parken. Flerfaktor-godkendelse reddede ikke de sårbare opsætninger, for indtrængeren registrerede blot sin egen MFA-enhed ved første login. Horizon3.ai, sikkerhedsfirmaet der fandt fejlen, rapporterede omkring 14.000 SimpleHelp-servere nåbare fra det åbne internet, da den blev offentlig den 12. juni, hvor cirka 7,2 procent af en stikprøve kørte den særlige OpenID-konfiguration, der får omvejen til at virke.

Hvorfor en leverandørs fejl bliver jeres hændelse

Den fristende reaktion er at arkivere det som it-leverandørens problem. Under NIS2 er den læsning forkert. For en væsentlig eller vigtig enhed inden for anvendelsesområdet forbliver pligten til at opdage, håndtere og anmelde en betydelig hændelse hos operatøren, og kompromitteringen af det værktøj, jeres enheder styres med, er omtrent så betydelig, som det kan blive. I Danmark er Center for Cybersikkerhed anmeldelseskanalen, og den nationale ramme peger i samme retning: I står til ansvar for sikkerheden af tjenester, der leveres på jeres vegne. Leverandøren leverer rettelsen, men anmeldelsesuret og ansvaret løber på jeres side af kontrakten.

Dette er formen på nutidens forsyningskæderisiko. En fejl i et udbredt styringsværktøj er ikke et brud, det er en delt nøgle til tusinder af underliggende virksomheder på en gang, hvoraf ingen valgte eller så den sårbare kode. Producenten opdagede, offentliggjorde og rettede dette ansvarligt, med en rettelse den 26. maj, uger før den offentlige offentliggørelse. Sådan bør systemet virke. Den tilbageværende eksponering afhænger helt af, hvor hurtigt hver operatør, og hver leverandør der handler for ham, faktisk anvendte den.

Spørgsmålet der hører til i jeres næste leverandørgennemgang

SimpleHelp udgav de rettede versioner 5.5.16 og 6.0 RC2, og CISA tilføjede fejlen til sit katalog over udnyttede sårbarheder med frist den 2. juli, hvilket betyder, at føderale myndigheder fik ordre om at patche, og at den udnyttes aktivt. Angribere bruger adgangen til at levere infostealeren Djinn, der høster loginoplysninger, som åbner den næste dør. Kun den særlige konfiguration er udnyttelig, OpenID-login med gruppegodkendte teknikerlogins slået til, men den konfiguration blev fundet slået til i virkelige installationer, så ingen operatør bør regne sig uden for uden at tjekke.

Det konkrete skridt er ikke teknisk for de fleste ejere, det er kontraktligt, og det er en samtale. Spørg den, der styrer jeres maskiner, om tre ting: hvilket fjernstyringsværktøj han bruger, hvilken version det kører i dag, og hvor hurtigt han anvender kritiske rettelser, når en producent udgiver dem. Er et af de svar vagt, hører den vaghed nu til i jeres risikoregister. Værktøjet, I aldrig har installeret, kan stadig være grunden til, at jeres anmeldelsesur starter, og de operatører, der stiller spørgsmålet, før en angriber tvinger det frem, er dem, der beholder kontrollen over tidslinjen.