כלי ניהול ותמיכה מרחוק (RMM) הוא מפתח‑אב: מנקודה אחת הוא שולט בעשרות ומאות מערכות דרך ערוץ ניהולי מהימן. משום כך, פגיעות חמורה בכלי כזה אינה תקלה נקודתית אלא דלת אחורית לכל הרשת המנוהלת. חולשת CVE‑2026‑48558 בתוכנת SimpleHelp, שדורגה בחומרה המרבית (CVSS 10), ממחישה זאת במלואו — ולפי חברת Blackpoint היא כבר נוצלה בפועל להפצת נוזקות.
בלב הבעיה עומד כשל בזרימת האימות מבוססת OpenID Connect: השרת אינו מאמת את החתימה הקריפטוגרפית של אסימוני הזהות, ולכן האקר יכול לשלוח אסימון מזויף ולקבל סשן "טכנאי" מלא ומורשה. משהושג סשן כזה בשרת SimpleHelp החשוף לאינטרנט, יכול התוקף להעביר קבצים ולהריץ פקודות בכל מערכות המחשוב המנוהלות דרך אותו שרת. במקרה שחקרה Blackpoint, נוצל הערוץ הלגיטימי הזה להשתלת שתי משפחות נוזקה חדשות: TaskWeaver — מטעין (loader) מבוסס Node.js שביצע מיפוי של המערכת והריץ payload בהרשאות מלאות, במבנה גמיש שיכול להפיץ כל מטען מוצפן — ובעקבותיו Djinn Stealer.
הסיכונים כאן נערמים בכמה שכבות. ראשית, עקיפת אימות מלאה בחומרה מרבית: כאשר החתימה אינה נבדקת, גם אמצעי כמו אימות רב‑שלבי אינו בהכרח מגן. שנית, הפצה דרך ערוץ מהימן — הנוזקה נשלחת דרך פלטפורמת ה‑ RMM עצמה, כך שהפעילות הזדונית מתחזה לסשן תמיכה מורשה ומקשה מאוד על זיהוי. שלישית, אופיו של גנב‑המידע: Djinn Stealer הוא נוזקה חוצת פלטפורמות שתוכננה לשאוב סודות ממכונות מפתחים — אישורי ענן, מפתחות SSH, קונפיגורציות תשתית, אסימוני ניהול גרסאות (source control), אימות מול רישומי חבילות, כלי פיתוח, ארנקי מטבעות קריפטו וכל נתוני הדפדפן — ובאופן בולט במיוחד גם את אישורי כלי הפיתוח מבוססי ה‑ AI, מה שמעניק לתוקף דריסת רגל לחבל בצינורות הפיתוח (pipelines) שצוותים בונים עליהם. רביעית וזה אולי החמור מכול: הנזק נמשך גם לאחר בידוד המערכת הפגועה. מפתח ענן, אסימון פרסום חבילה, מפתח SSH או אישור שירות שנגנבו מאפשרים לתוקף לחזור פנימה דרך שירותים מהימנים, לשנות תוכנה, לגשת לנתוני פרודקשן ולנוע אל תוך סביבות של לקוחות — כלומר סיכון שרשרת אספקה מובהק, שבו פריצה לשרת RMM בודד שקולה לפריצה למאות מערכות מחשוב.
הדחיפות ברורה: הפגם תוקן בסוף מאי בגרסאות 5.5.16 ו‑6.0 RC2, וביום שני, בעקבות הדיווח של Blackpoint, הוסיפה סוכנות הסייבר האמריקאית CISA את החולשה לרשימת הפגיעויות המנוצלות שלה והורתה לגופים הפדרליים לתקנה בתוך שלושה ימים — צעד ששמור לחולשות בניצול אמיתי ופעיל.
מכאן נגזרת גם זווית ההגנה, הרלוונטית במיוחד לארגונים הנשענים על ספק שירות מנוהל. בשירות עדכוני תוכנה ואבטחה יש להחיל מיד את הגרסה המתוקנת ולהסיר את שרת ה‑ RMM מחשיפה ישירה לאינטרנט. שירותי SIEM/SOC אמורים לזהות סשן "טכנאי" חריג, שמות או כתובות דוא"ל לא מוכרים ביומני השרת, ריצה חריגה של node.exe או קובץ בשם מטעה כמו "jquery.js", ותנועה רוחבית בין המערכות המנוהלות. שירות מניעת דלף מידע (DLP) נועד לבלום את הוצאת האישורים, המפתחות והסודות אל מחוץ לארגון. מעליהם – מודיעין סייבר מאפשר מעקב אחר מדדים וקובע כלל פעולה חד‑משמעי: אם השרת היה חשוף, יש להניח שהתרחשה פריצה — ולכן לבצע סבב מלא של כל האישורים, המפתחות והסודות המשויכים אליו.