ABD CISA, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna SimpleHelp kusurunu ekledi
Pierluigi Paganini 30 Haziran 2026 30 Haziran 2026
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna bir SimpleHelp kusuru ekledi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna CVE-2026-48558 (CVSS puanı v3.1/10.0) olarak takip edilen bir SimpleHelp kusuru ekledi.
CVE-2026-48558, SimpleHelp'in 5.5.15 ve önceki sürümleri ile 6.0 yayın öncesi sürümlerinde bulunan kritik bir kimlik doğrulama atlama güvenlik açığıdır. OIDC kimlik doğrulaması etkinleştirildiğinde yazılım, kimlik belirteçlerinin kriptografik imzasını doğrulayamaz, bu da uzaktaki, kimliği doğrulanmamış bir saldırganın bir belirteç oluşturup tam olarak kimliği doğrulanmış bir teknisyen oturumu kazanmasına olanak tanır. Bazı yapılandırmalarda kusur, kullanıcı etkileşimi gerektirmeden çok faktörlü kimlik doğrulamayı (MFA) da atlayabilir.
Horizon3.ai'den araştırmacı Zach Hanley (@hacks_zach), üretken yapay zekanın yardımıyla güvenlik açığını keşfetti.
SimpleHelp, kuruluşların teknik yardım sağlamak, uç noktaları yönetmek ve internet üzerinden bilgisayarlara erişmek için kullandıkları bir uzaktan destek ve uzaktan erişim platformudur. Genellikle BT departmanları, yönetilen hizmet sağlayıcılar (MSP'ler) ve yardım masaları tarafından fiziksel olarak mevcut olmadan cihazlarda sorun gidermek, dosya aktarmak, uzaktan komutları çalıştırmak ve sistem yönetimini gerçekleştirmek için kullanılır.
SimpleHelp sunucuları çoğu zaman birçok müşteri sistemine ayrıcalıklı erişim sağladığından, platformdaki güvenlik açıkları özellikle tehlikeli olabilir. Saldırganlar SimpleHelp sunucusunun güvenliğini ihlal ederse yasal teknisyenlerle aynı düzeyde erişim elde edebilirler ve potansiyel olarak ağlar arasında yatay olarak hareket etmelerine, kötü amaçlı yazılım dağıtmalarına veya hassas verileri çalmalarına olanak tanıyabilirler.
"Tanımlanan güvenlik açığı, OIDC'nin her iki sürümünü kullanacak şekilde yapılandırılmış sunucuları etkiliyor ve kökü SimpleHelp'in IdP iddialarını doğrulama biçiminden kaynaklanıyor. OIDC türü kimlik doğrulamanın etkin olduğu birçok SimpleHelp dağıtımında, kimliği doğrulanmamış bir saldırgan yeni bir "Teknisyen" kullanıcı oluşturabilir ve kimliğini doğrulayabilir. Bu Teknisyen, varsayılan olarak, yönetilen uç noktalara uzaktan erişim, komut dosyalarının yürütülmesi ve daha fazlası gibi ayrıcalıklı yönetim etkinliklerini gerçekleştirebilir." Hanley tarafından yayınlanan bir teknik analizi okuyor.
"SimpleHelp sunucusu teknisyenler için MFA'yı zorunlu kılacak şekilde yapılandırılmış olsa bile bu sorun, saldırganın bu mekanizmayı atlamasına olanak tanıyor çünkü teknisyenler ilk oturum açtıklarında kendi MFA yöntemlerini kendileri kaydedebiliyor."
Araştırmacı, bu kusurdan yalnızca OIDC kimlik doğrulamasının etkinleştirilmesi, bir OIDC sağlayıcısının bir TechnicianGroup'a bağlanması ve "Grup kimlik doğrulamalı oturum açmalara izin ver" seçeneğinin etkinleştirilmesi durumunda yararlanılabileceğini belirtti. Araştırmacılar teknik ayrıntıları gizlediler ancak kuruluşların potansiyel istismarı tespit etmelerine yardımcı olmak için risk göstergelerini yayınladılar.
BlackPoint araştırmacıları ilk kez vahşi doğada bu güvenlik açığından yararlanan saldırıları gözlemlediler.
"Adversary Pursuit Group, daha önce keşfedilmemiş iki kötü amaçlı yazılım örneğini belirledi: TaskWeaver ve Djinn Stealer." BlackPoint tarafından yayınlanan rapora göre. "İzinsiz giriş, CVE-2026-48558'in doğrulanmış kullanımıyla başladı ve saldırganın SimpleHelp OIDC kimlik doğrulamasını atlamasına ve bir teknisyen oturumu elde etmesine olanak sağladı."
Ocak 2025'ten bu yana, açığa çıkan SimpleHelp sunucularının sayısı yaklaşık 3.400'den yaklaşık 14.000'e yükseldi. Uzmana göre bunların yaklaşık %7,2'sinin güvenlik açığı bulunan OIDC kimlik doğrulama yöntemiyle yapılandırılmış olduğu tespit edildi.
Hanley ayrıca bu saldırı için Uzlaşma Göstergelerini (IoC'ler) yayınladı.
Bağlayıcı Operasyonel Direktif (BOD) 22-01: Bilinen İstismara Uğrayan Güvenlik Açıklarının Önemli Riskinin Azaltılması uyarınca, FCEB kuruluşları, ağlarını katalogdaki kusurlardan yararlanan saldırılara karşı korumak için belirlenen güvenlik açıklarını son tarihe kadar ele almak zorundadır.
Uzmanlar ayrıca özel kuruluşların Kataloğu incelemesini ve altyapılarındaki güvenlik açıklarını gidermelerini de tavsiye ediyor.
CISA siparişleri
Federal kurumların güvenlik açığını bu hafta sonuna kadar, yani 2 Temmuz 2026'da düzeltmesi bekleniyor.
Nisan ayında ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), KeV Kataloğuna iki SimpleHelp kusuru daha ekledi:
CVE-2024-57726 SimpleHelp'te Eksik Yetkilendirme Güvenlik Açığı
CVE-2024-57728 SimpleHelp Yolu Geçiş Güvenlik Açığı
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
Pierluigi Paganini
(SecurityAffairs – bilgisayar korsanlığı, CISA)