Siber güvenlik firması BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) yazılımlarında iki kritik güvenlik açığı keşfettiğini duyurdu. CVE-2026-40138 ve CVE-2026-40139 olarak izlenen bu açıklar, saldırganların kimlik doğrulamayı atlayarak sistemlere yetkisiz erişim sağlamasına olanak tanıyabiliyor. İlk açık, RS ve PRA'nın 25.3.2 ve önceki sürümlerini etkilerken, ikinci açık özellikle RS kimlik doğrulama isteklerinin hatalı işlenmesinden kaynaklanıyor. BeyondTrust, bu açıkların istismar edilebilmesi için belirli bir kimlik doğrulama yapılandırmasının etkin olması gerektiğini belirtti, ancak detay paylaşmadı.
Şirket ayrıca, yamalanmamış RS ve PRA örneklerinde hizmet reddi veya kısıtlı kaynaklara erişime yol açabilecek iki yüksek önem dereceli güvenlik sorunu (CVE-2026-40140 ve CVE-2026-40141) için de güvenlik güncellemeleri yayınladı. BeyondTrust, en ciddi açıkların, belirli yapılandırmalar altında kimliği doğrulanmamış uzak saldırganların erişim kontrollerini atlayarak cihazlara yetkisiz erişim sağlamasına izin verebileceğini açıkladı. Ayrıca, kimliği doğrulanmış kullanıcıların ayrıcalık yükseltmesi yapabileceği durumlar da bildirildi.
BeyondTrust, RS/PRA bulut müşterilerine 21 Nisan 2026 itibarıyla yamanın uygulandığını duyurdu. Kendi kendine barındırma yapan müşterilerin ise otomatik güncellemelere abone değillerse Nisan 2026 güvenlik toplu yamasını uygulamaları veya RS 25.3.3 ve üzeri ya da PRA 25.3.3 ve üzeri sürümlere yükseltme yapmaları gerekiyor. İnternet güvenliği izleme grubu Shadowserver, çevrimiçi olarak yaklaşık 2.000 BeyondTrust RS ve PRA örneği tespit etti, ancak bunların kaçının tuzak (honeypot) olduğu veya güncellendiği bilinmiyor.
Teknik Analiz
BeyondTrust, bu açıkların saldırılarda kullanıldığına dair bir bilgi paylaşmazken, geçmişte şirketin uzaktan destek yazılımındaki güvenlik açıklarının istismar edildiği biliniyor. Örneğin, CVE-2026-1731 olarak izlenen kritik bir açık, WebSocket kanalları oluşturmak ve fidye yazılımı dağıtmak için kullanılmıştı. Ayrıca, Çin devlet destekli Silk Typhoon grubunun, iki sıfırıncı gün açığını (CVE-2024-12356 ve CVE-2024-12686) kullanarak BeyondTrust sistemlerine sızdığı ve ABD Hazine Bakanlığı da dahil olmak üzere 17 Remote Support SaaS örneğini tehlikeye attığı bildirilmişti.