Se stai leggendo questo probabilmente hai SimpleHelp in azienda e hai sentito del CVE-2026-48558. O peggio, hai visto traffico sospetto e ti stai chiedendo se qualcuno è già entrato.
Il problema è serio: questa vulnerabilità ha score CVSS 10.0 (massimo possibile) e permette RCE senza autenticazione. Gli attaccanti la stanno sfruttando per distribuire TaskWeaver e Djinn Stealer - due malware nuovi che i tuoi antivirus potrebbero non riconoscere ancora.
TaskWeaver è un loader modulare che scarica payload aggiuntivi. Djinn Stealer fa quello che dice il nome: ruba credenziali, token, file e tutto quello che trova di interessante.
Se hai SimpleHelp esposto su internet, considera che potresti essere già compromesso. I primi exploit sono circolati 2-3 giorni dopo la disclosure della vulnerabilità.
Prima cosa: scopri che versioni hai in giro.
# Su Linux/macOS
sudo find / -name "SimpleHelp*" -type f 2>/dev/null
# Su Windows (PowerShell)
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*SimpleHelp*"}Versioni vulnerabili: tutte quelle precedenti alla 5.4.24. Se hai versioni più vecchie, sei esposto.
SimpleHelp usa tipicamente le porte 80, 443, 25000-25009. Verifica cosa è esposto:
# Scansione interna
nmap -sS -p 80,443,25000-25009 [IP_INTERNI]
# Scansione esterna (usa un VPS o servizio esterno)
nmap -sS -p 80,443,25000-25009 [TUO_IP_PUBBLICO]Se vedi porte SimpleHelp aperte verso internet, hai un problema immediato.
Cerca connessioni sospette nei log del firewall:
# Cerca tentativi di exploit
grep -i "POST.*technician" /var/log/firewall.log
grep -i "SimpleHelp" /var/log/apache2/access.log
# Pattern tipici dell'exploit
grep "25000\|25001\|25002" /var/log/syslogCerca anche richieste HTTP POST anomale verso le porte SimpleHelp, specialmente con User-Agent strani o payload sospetti.
TaskWeaver si nasconde bene, ma ha alcune signature:
# Processi sospetti
ps aux | grep -E "(taskweaver|djinn|temp_[0-9]+)"
# File temporanei sospetti
find /tmp -name "*.exe" -o -name "task*" -o -name "djinn*" 2>/dev/null
# Connessioni di rete attive
netstat -tulpn | grep -E ":(80|443|8080|9999)"TaskWeaver crea spesso processi con nomi casuali e si connette a C2 su porte comuni.
Djinn Stealer punta ai browser e ai file sensibili:
# File di log browser modificati di recente
find ~/.mozilla ~/.config/google-chrome -name "*.sqlite" -mtime -7
# Processi che accedono a password manager
lsof | grep -E "(Login Data|passwords|keychain)"
# Traffic DNS sospetto
tail -f /var/log/bind/queries.log | grep -E "(pastebin|discord|telegram)"Djinn spesso esfiltrata dati via servizi pubblici come Pastebin o Discord.
Se non sei compromesso (o dopo la bonifica):
# Nel file di configurazione SimpleHelp
allow_ips=192.168.1.0/24,10.0.0.0/8
deny_all_others=trueDopo le modifiche, verifica che tutto funzioni:
# Test connessione interna
curl -I http://[IP_SIMPLEHELP]:25000/
# Verifica log di accesso
tail -f /var/log/simplehelp/access.logDovresti vedere solo connessioni dagli IP autorizzati.
Imposta alerting per:
Usa strumenti come Zabbix, Nagios o anche script custom:
#!/bin/bash
# Alert per connessioni sospette
netstat -tulpn | grep :25000 | grep -v "192.168\|10\|127" && echo "ALERT: Connessione esterna a SimpleHelp"SimpleHelp non si avvia dopo l'aggiornamento? Controlla i permessi dei file e la compatibilità Java. Spesso serve riavviare il servizio:
sudo systemctl restart simplehelpIP whitelist troppo restrittiva? Aggiungi temporaneamente range più ampi e monitora i log per vedere quali IP servono davvero.
Performance degradata dopo l'hardening? L'IP filtering può rallentare le connessioni. Considera hardware più potente o ottimizza le regole del firewall.
Falsi positivi nel monitoring? Affina le signature di detection. TaskWeaver e Djinn cambiano spesso, quindi serve aggiornare i pattern di ricerca.
Utenti non riescono più ad accedere? Verifica che i loro IP siano nella whitelist. Considera range dinamici per utenti mobili o VPN aziendale.
CVE-2026-48558 è una di quelle vulnerabilità che ti cambiano la giornata. Se hai SimpleHelp esposto, considera questo un wake-up call per rivedere tutta l'esposizione dei servizi interni.
Prossimi passi: audit completo di tutti i servizi esposti, implementazione di una strategia di protezione email robusta (perché spesso questi attacchi arrivano via mail), e training del team su incident response.
Non aspettare che TaskWeaver o Djinn bussino alla tua porta. Il tempo per agire è adesso.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamo300 repository compromessi, catene di build avvelenate, migliaia di dipendenze infette. È lo scenario nightmare che i ricercatori di cybersecurity hanno scoperto nascosto nelle pieghe delle pipeline CI/CD di GitHub. Ma come si arriva a questo punto? E soprattutto: la tua azienda è al sicuro?
LeggiUna falla di sicurezza in Cisco Catalyst SD-WAN è stata usata dagli hacker prima ancora che Cisco la comunicasse. Due mesi di tempo in cui i criminali avevano accesso root alle reti aziendali. Come se qualcuno avesse le chiavi di casa tua prima che tu sappia che la serratura è stata forzata.
LeggiF5 ha rilasciato patch per due vulnerabilità critiche in NGINX Open Source che consentono Remote Code Execution. Le falle, se sfruttate, permettono a un attaccante di eseguire codice arbitrario sul server. NGINX gestisce oltre il 60% dei siti web mondiali: l'impatto potenziale è enorme.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.