De deur is een tool die u nooit hebt geinstalleerd

De meeste bedrijven draaien SimpleHelp niet zelf. Hun uitbestede IT-dienstverlener of managed-service-partner doet dat, en die tool voor monitoring en beheer op afstand is precies wat een technicus toelaat om in elke laptop en server te reiken en dingen op te lossen zonder langs het bureau te komen. CVE-2026-48558 maakt van dat gemak een loper. Het lek zit in hoe SimpleHelp de identiteitstokens van het OpenID Connect-protocol behandelde: de server accepteerde een token zonder de cryptografische handtekening goed te controleren, zodat een aanvaller zonder inloggegevens zijn eigen token kon maken, aanbieden en een volledig bevoegde technicus-sessie kreeg.

Van daaruit kan de aanvaller doen wat elke technicus doet: inloggen op beheerde machines, scripts draaien en zich door het hele bestand bewegen. Meervoudige verificatie redde de kwetsbare installaties niet, want de indringer registreerde bij de eerste aanmelding gewoon zijn eigen MFA-apparaat. Horizon3.ai, het beveiligingsbedrijf dat het lek vond, meldde bij de openbaarmaking op 12 juni ongeveer 14.000 vanaf het open internet bereikbare SimpleHelp-servers, waarvan zo'n 7,2 procent van een steekproef de specifieke OpenID-configuratie draaide die de omweg mogelijk maakt.

Waarom het lek van een leverancier uw incident wordt

De verleidelijke reactie is dit weg te zetten als het probleem van de IT-dienstverlener. Onder NIS2 is die lezing onjuist. Voor een essentiele of belangrijke entiteit binnen het bereik blijft de plicht om een significant incident te detecteren, te beheersen en te melden bij de operator, en de compromittering van de tool waarmee uw apparaten worden beheerd is ongeveer zo significant als het maar kan. In Nederland is het NCSC het meldkanaal en de nationale wetgeving legt dezelfde verantwoordelijkheid vast: u staat in voor de beveiliging van diensten die namens u worden geleverd. De leverancier levert de patch, maar de meldklok en de aansprakelijkheid lopen aan uw kant van het contract.

Dit is de vorm van het hedendaagse toeleveringsketenrisico. Een lek in een breed uitgerolde beheertool is niet een inbreuk, het is een gedeelde sleutel naar duizenden achterliggende bedrijven tegelijk, waarvan geen enkel de kwetsbare code koos of zelfs zag. De leverancier ontdekte, meldde en herstelde dit verantwoord, met een patch op 26 mei, weken voor de openbaarmaking. Zo hoort het systeem te werken. De resterende blootstelling hangt volledig af van hoe snel elke operator, en elke dienstverlener die voor hem handelt, hem echt heeft toegepast.

De vraag die thuishoort in uw volgende leveranciersreview

SimpleHelp bracht de herstelde versies 5.5.16 en 6.0 RC2 uit, en de CISA voegde het lek toe aan zijn catalogus van misbruikte kwetsbaarheden met een deadline van 2 juli, wat betekent dat federale agentschappen opdracht kregen te patchen en dat het actief wordt misbruikt. Aanvallers gebruiken de toegang om de infostealer Djinn af te leveren, die inloggegevens oogst die de volgende deur openen. Alleen de specifieke configuratie is misbruikbaar, OpenID-aanmelding met groepsgeauthenticeerde technicus-logins ingeschakeld, maar die configuratie werd aangetroffen in echte installaties, dus geen operator zou zich zonder controle buiten schot moeten wanen.

De concrete stap is voor de meeste eigenaren niet technisch, hij is contractueel en het is een gesprek. Vraag degene die uw machines beheert drie dingen: welke tool voor beheer op afstand hij gebruikt, in welke versie die vandaag draait en hoe snel hij kritieke patches toepast zodra een leverancier ze uitbrengt. Is een van die antwoorden vaag, dan hoort die vaagheid nu in uw risicoregister. De tool die u nooit hebt geinstalleerd kan alsnog de reden zijn dat uw meldklok begint te lopen, en de operators die de vraag stellen voordat een aanvaller haar afdwingt zijn degenen die de baas blijven over de tijdlijn.